如何在PHP中安全地正确使用SQL查询中的变量？

Question

在SQL查询中使用变量的正确格式是什么？是的，我知道我的代码是不安全的，因为它没有散列和其他缺陷，但我不能让它工作。

include 'config/database.php'; // DB connection. 
$password = mysql_real_escape_string($_POST['password']); 
$sql = 'INSERT INTO `login` (`id`, `username`, `password`, `question`) VALUES (NULL, \'test\', \$password\, \'test\')'; 

if (mysqli_query($con, $sql)) 
{ 
echo 'Done!'; 
} 

else 
{ 
echo 'No.'; 
} 

mysqli_close($con); 

错误

Connection worked! 

Fatal error: Uncaught Error: Call to undefined function mysql_real_escape_string() in C:\xampp\htdocs\hashing\password.php:3 Stack trace: #0 {main} thrown in C:\xampp\htdocs\hashing\password.php on line 3

它只是一个简单的PHP形式的帖子下面的PHP脚本。我还得到了phpMyAdmin中格式化的SQL查询。谢谢！

Answer 1

你的XAMPP必须配备的MySQLi而不是MySQL的（现在已废弃），所以你必须使用mysqli_real_escape_string($var)代替mysql_real_escape_string($var)

你也需要逃避每个变量，你会把你的SQL查询，包括它:)！ （在你的SQL查询不管你是使用没有解释$密码单引号），它更像是：

$sql = 'INSERT INTO登录( ID ,用户名,密码,问题) VALUES (NULL, \'test\', \''.$password.'\', \'test\')';