PHP函数addslashes与mysql_real_escape_string区别分析

首先，不要使用mysql_escape_string，它已被弃用，请使用mysql_real_escape_string代替它。

mysql_real_escape_string和addslashes的区别。

区别一：

addslashes不知道任何有关MySQL连接的字符集。如果你给所使用的MySQL连接传递一个包含字节编码之外的其他编码的字符串，它会很愉快地把所有值为字符‘、“、\和\x00的字节进行转义。如果你正在使用不同于8位和UTF-8的其它字符，这些字节的值不一定全部都是表示字符‘、“、\和\x00。可能造成的结果是，MySQL接收这些字符后出现错误。
如果要修正这个bug，可尝试使用iconv函数，将变量转为UTF-16，然后再使用addslashes进行转义。
这是不使用addslashes进行转义的原因之一。
区别二：

与addslashes对比，mysql_real_escape_string同时还对\r、\n和\x1a进行转义。看来，这些字符必须正确地告诉MySQL，否则会得到错误的查询结果。
这是不使用addslashes进行转义的另一个原因。

addslashes V.S. mysql_real_escape_string

在GBK里，0xbf27不是一个合法的多字符字符，但0xbf5c却是。在单字节环境里，0xbf27被视为0xbf后面跟着0×27(‘)，同时0xbf5c被视为0xbf后面跟着0x5c(\)。
一个用反斜杠转义的单引号，是无法有效阻止针对MySQL的SQL注入攻击的。如果你使用addslashes，那么，我（攻击者，下同）是很幸运的。我只要注入一些类似0xbf27，然后addslashes将它修改为0xbf5c27，一个合法的多字节字符后面接着一个单引号。换句话说，我可以无视你的转义，成功地注入一个单引号。这是因为0xbf5c被当作单字节字符，而非双字节。
在这个演示中，我将使用MySQL 5.0和PHP的mysqli扩展。如果你想尝试，请确保你使用GBK。

创建一个名为users的表：
 

例子，模拟只使用addslashes（或magic_quotes_gpc）对查询数据进行转义时的情况：
 

尽管使用了addslashes，还是可以在不知道用户名和密码的情况下成功登录。
可以轻松的利用这个漏洞进行SQL注入。
避免这种漏洞，使用mysql_real_escape_string、准备语句（Prepared Statements，即“参数化查询”）或任意一款主流的数据库抽象类库。

您可能感兴趣的文章：
mysql查询与插入数据单引号的问题分析
PHP函数addslashes与mysql_real_escape_string区别分析
php防sql注入函数mysql_real_escape_string解析
学习php的防SQL注入函数：mysql_real_escape_string
php mysql_escape_string与addslashes区别详解
addslashes,mysql_real_escape_string和mysql_escape_string介绍
php防止sql注入函数用法
几个防SQL注入攻击函数的区别
PHP常用转义字符函数
php中addslashes()和addclashes()函数的区别分析