PHP使用mysql_real_escape_string函数防止SQL注入

在Web开发中，安全问题一直是至关重要的，其中SQL注入是一种常见且危险的攻击方式。攻击者通过在表单输入等位置添加恶意的SQL代码，可能会绕过应用程序的验证机制，从而获取、修改或删除数据库中的数据。为了防止SQL注入，PHP提供了许多有效的方法，其中mysql_real_escape_string函数是一种常用的手段。本文将详细介绍如何使用mysql_real_escape_string函数来防止SQL注入。

一、什么是SQL注入

SQL注入是一种代码注入技术，攻击者通过在应用程序的输入字段中添加恶意的SQL代码，从而改变原本的SQL语句逻辑。例如，一个简单的登录表单，原本的SQL查询可能是这样的：

$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

如果攻击者在用户名或密码输入框中输入恶意代码，如在用户名输入框中输入 "' OR '1'='1"，那么最终的SQL语句就会变成：

$sql = "SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '$password'";

由于 '1'='1' 永远为真，攻击者就可以绕过正常的登录验证，直接登录系统。这就是一个典型的SQL注入攻击例子。

二、mysql_real_escape_string函数介绍

mysql_real_escape_string函数是PHP中用于转义SQL语句中特殊字符的函数。它会对字符串中的特殊字符（如单引号、双引号、反斜杠等）进行转义，在这些字符前面加上反斜杠，从而防止这些字符破坏SQL语句的结构。该函数的基本语法如下：

string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] )

其中，$unescaped_string 是需要转义的字符串，$link_identifier 是可选的数据库连接标识符。如果不提供该参数，函数会使用最后一次调用 mysql_connect 或 mysql_pconnect 所打开的连接。

三、使用mysql_real_escape_string函数防止SQL注入

下面通过一个具体的例子来演示如何使用mysql_real_escape_string函数防止SQL注入。假设我们有一个简单的用户注册表单，用户需要输入用户名和密码，我们将这些信息添加到数据库中。

首先，建立数据库连接：

$link = mysql_connect('localhost', 'username', 'password');
if (!$link) {
    die('Could not connect: ' . mysql_error());
}
mysql_select_db('testdb', $link);

然后，获取用户输入并进行转义：

$username = $_POST['username'];
$password = $_POST['password'];

$escaped_username = mysql_real_escape_string($username, $link);
$escaped_password = mysql_real_escape_string($password, $link);

最后，执行SQL添加语句：

$sql = "INSERT INTO users (username, password) VALUES ('$escaped_username', '$escaped_password')";
$result = mysql_query($sql, $link);
if (!$result) {
    die('Query failed: ' . mysql_error());
}

通过使用mysql_real_escape_string函数，我们将用户输入的特殊字符进行了转义，即使攻击者输入恶意的SQL代码，也会被当作普通的字符串处理，从而避免了SQL注入攻击。

四、mysql_real_escape_string函数的局限性

虽然mysql_real_escape_string函数可以有效地防止大多数SQL注入攻击，但它也存在一些局限性。

1. 编码问题：mysql_real_escape_string函数依赖于数据库的字符编码。如果数据库的字符编码与应用程序的字符编码不一致，可能会导致转义失败。例如，在某些多字节字符编码下，一些特殊字符可能无法正确转义。

2. 过时性：mysql_* 系列函数在PHP 5.5.0 版本中已经被弃用，在PHP 7.0.0 版本中被移除。因此，不建议在新的项目中使用mysql_real_escape_string函数。

五、替代方案

由于mysql_real_escape_string函数存在上述局限性，我们可以使用更现代、更安全的替代方案。

1. PDO（PHP Data Objects）：PDO是PHP的一个数据库抽象层，它提供了一种统一的接口来访问不同的数据库。PDO支持预处理语句，预处理语句可以自动处理SQL注入问题，而不需要手动转义字符串。以下是一个使用PDO进行数据库添加的例子：

try {
    $pdo = new PDO('mysql:host=localhost;dbname=testdb', 'username', 'password');
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $username = $_POST['username'];
    $password = $_POST['password'];

    $stmt = $pdo->prepare("INSERT INTO users (username, password) VALUES (:username, :password)");
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':password', $password);

    $stmt->execute();
    echo "Record inserted successfully";
} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}

2. mysqli（MySQL Improved Extension）：mysqli是PHP的另一个MySQL扩展，它提供了面向对象和面向过程两种编程方式。mysqli也支持预处理语句，同样可以有效地防止SQL注入。以下是一个使用mysqli进行数据库添加的例子：

$mysqli = new mysqli('localhost', 'username', 'password', 'testdb');
if ($mysqli->connect_error) {
    die("Connection failed: " . $mysqli->connect_error);
}

$username = $_POST['username'];
$password = $_POST['password'];

$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);

if ($stmt->execute()) {
    echo "Record inserted successfully";
} else {
    echo "Error: " . $stmt->error;
}

$stmt->close();
$mysqli->close();

六、总结

SQL注入是一种严重的安全威胁，开发者必须采取有效的措施来防止此类攻击。mysql_real_escape_string函数曾经是一种常用的防止SQL注入的方法，它通过转义特殊字符来避免SQL语句结构被破坏。然而，由于其存在编码问题和过时性，不建议在新的项目中使用。

推荐使用PDO或mysqli等更现代、更安全的替代方案，它们支持预处理语句，可以自动处理SQL注入问题，提供更可靠的安全保障。在开发过程中，还应该结合其他安全措施，如输入验证、权限管理等，以确保应用程序的安全性。

同时，开发者要不断学习和关注最新的安全技术和漏洞信息，及时更新和改进应用程序的安全机制，以应对不断变化的安全挑战。只有这样，才能为用户提供一个安全可靠的Web应用环境。