问题标签 [mysql-real-escape-string]

最近我添加到我的页面：

我想在添加到我的页面之前清理所有 $_POST ( http://prntscr.com/22uot ) ID 20 mysql_real_escape_string()，之后是 id 22。我的页面将所有变量放入 db 表的字段中，但是当我想添加mysql_real_escape_string()到变量时，它不会在字段中放入任何内容。我不知道该怎么办。

如果我错了，请纠正我，但我认为 mysql_real_escape_string 应该在 (') 和 (") 等字符前面放置转义字符。我正在使用的简单设置如下。我期待看到创建的新记录在 phpMyAdmin 中查看时，在上述字符之前带有反斜杠，但转义字符不存在。

如果变量仅用于通过 isset() 运行，我是否需要转义变量？

是否可以$user_input在以下代码中选择使 MySQL 查询不按预期运行？

我不能使用准备好的语句，因为 SQL 字符串需要传递一下。

编辑：我要补充一点，我已经知道正则表达式 DoS 攻击。

我有一个数组，在将其放入 mysql 数据库的单元格之前需要对其进行清理。我正在尝试的代码似乎有效。但是一旦有像 ' 这样的字符，它就会抛出错误，那就不好了。这是我尝试过的，有什么想法有什么问题吗？

编辑：以防万一它有帮助，以下是数组中某些对象的样子：

当我运行mysql_real_escape_string时，例如这样：

它在本地服务器上不起作用，它给了我一个错误页面！

• 我的本地服务器是“ AppServ ”。
• 我的操作系统是“ windows XP ”。

这是正常的吗？而且我只需要在托管站点上运行它！

有没有办法有人可以为复选框、单选按钮或下拉菜单（例如国家、出生年份）进行 sql 注入？

另外，假设，如果有人在文本字段中输入他们的猫的名字，在我将它们插入 mysql 表之前运行以下代码行是否足够？

或者我还必须这样做吗？