我是否需要在PHP中使用以下函数进行字符串转义？

Question

function escape($value){
    $magic_quotes_active = get_magic_quotes_gpc();
    $new_enough_php = function_exists("mysql_real_escape_string");
      if ($new_enough_php) {
        if ($magic_quotes_active) {
            $value = stripslashes($value);
            $value = mysql_real_escape_string($value);
        }
        elseif (!$magic_quotes_active) {
            $value = addslashes($value);
        }
        return $value;
    }
}

很长一段时间我一直在使用上面的函数来转义字符串？现在,我想问一下,我是否需要使用该功能(我发现通过互联网获取适用于大多数PHP版本的字符串)？或者它的制作不必要的复杂？

Answer 1

不,你应该不惜一切代价避免使用这些功能!你应该研究的是使用准备好的陈述.
检查文档页面的任何mysql_*功能,并注意红色预警的事情:扩展已经开始弃用的过程,而不是PDO或mysqli_*建议.

为了避免注射,准备语句,你应该使用什么......读了几个关于此事的文章,并考虑双方的优势PDO和mysqli_*.那就是,我害怕前进的唯一途径......