我希望有一个函数表现为mysql_real_escape_string而不连接数据库,因为有时我需要在没有数据库连接的情况下进行干测试.不推荐使用mysql_escape_string,因此不合需要.我的一些发现:
http://www.gamedev.net/community/forums/topic.asp?topic_id=448909
为什么我们需要特定于数据库的函数,如mysql_real_escape_string()?它能做什么,addslashes()不是吗?
暂时忽略参数化查询的优越替代方案,是一个使用addslashes()的webapp,它仍然容易受到SQL注入的攻击,如果是,如何?
mysql_real_escape_string并且addslashes都用于在数据库查询之前转义数据,那有什么区别?(这个问题不是关于参数化查询/ PDO/mysqli)