Что mysql_real_escape_string () делает, что addlashes () не делает?

Question

Зачем нам нужны специфичные для БД функции, такие как mysql_real_escape_string ()? Что он может сделать, чего не делает addlashes ()?

На данный момент игнорируется превосходная альтернатива параметризованных запросов, это веб-приложение, которое использует addlashes (), все еще уязвимое для SQL-инъекций, и если да, то как?

Answer 1

Он должен экранировать строки для MySQL так, как это не делают другие средства цитирования.

Однако гораздо предпочтительнее использовать интерфейс mysqli и использовать параметризованные подготовленные запросы вместо попытки убедиться, что все ваши строки правильно экранированы. Использование параметризованных запросов устраняет необходимость в такой грязной работе со строками и значительно снижает риск внедрения SQL.

Редактировать: Я немного поясню, почему я считаю цитирование плохой идеей: легко забыть, когда и где вам нужно цитировать - должна ли ваша переменная быть строкой или числом, была ли она уже в кавычках, и т. д. Параметризованный запрос не имеет ни одной из этих проблем , и необходимость в цитировании полностью устранена.