网站安全之转义函数mysqli_real_escape_string和addslashes有什么不同

mysqli_real_escape_string 和 addslashes 是 PHP 中用于处理字符串，特别是为了数据库操作（如 SQL 查询）中安全地插入数据而设计的两个函数。如果没有开启魔术引用，帝国cms核心函数RepPostStr()使用的就是addslashes 进行转义。
 

字符集依赖

mysqli_real_escape_string 函数的行为依赖于当前 MySQL 连接的字符集。它会根据连接的字符集对字符串中的特殊字符进行转义。
addslashes 函数不依赖于数据库连接或字符集。它简单地对字符串中的几个预定义字符（单引号 '、双引号 "、反斜杠 和 NULL 字符 ）添加反斜杠 。
 

转义字符

mysqli_real_escape_string 除了转义单引号 '、双引号 "、反斜杠 和 NULL 字符 外，还会对回车符 r、换行符 n 和 x1a（Z 垂直制表符）进行转义。
addslashes 仅对单引号 '、双引号 "、反斜杠 和 NULL 字符 进行转义。
 

字符集编码

mysqli_real_escape_string 更适合处理多字节字符集（如 UTF-8），因为它根据连接的字符集进行转义。
如果使用 addslashes 处理非 8 位或 UTF-8 编码的字符串，可能会错误地转义一些不是特殊字符的字节。
 

SQL 注入防护

虽然两者都可以用于帮助防止 SQL 注入攻击，但 mysqli_real_escape_string 更为可靠，因为它考虑了连接的字符集。
使用 addslashes 可能在处理非标准字符集时导致 SQL 查询错误或漏洞。
 

用途

mysqli_real_escape_string 主要用于在 SQL 查询中安全地插入字符串值。
addslashes 也可以用于在 SQL 查询中插入字符串，但其用途更广，如处理 HTML 标签、JSON 字符串等。
 

兼容性

mysqli_real_escape_string 是 mysqli 扩展的一部分，与 MySQLi 数据库连接一起使用。
addslashes 是 PHP 的内置函数，与数据库连接无关。
因此，在兼容性方面，addslashes表现更好。


如果必须使用字符串插值构建 SQL 查询，则 mysqli_real_escape_string 通常是更好的选择，因为它考虑了连接的字符集。

总之，mysqli_real_escape_string 和 addslashes 在处理字符串转义方面有所不同，主要区别在于字符集依赖、转义字符、字符集编码和 SQL 注入防护能力。在选择使用哪个函数时，应根据具体的应用场景和需求来决定。