addslashes 和 mysql_real_escape_string 都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢?

首先,我们还是从PHP手册入手:

手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。

mysql_real_escape_string转义的字符并没有被提到,只是说了一句:

注意:mysql_real_escape_string() 并不转义% 和_。

为什么PHP手册没有说呢?因为其实这是个MySql的C的API,所以我们需要查下MySql手册,上面是这么说的:

编码的字符为NUL (ASCII 0)、'\n'、'\r'、'\'、'''、'"'、以及Control-Z(请参见9.1节,“文字值”)。(严格地讲,MySQL仅需要反斜杠和引号字符,用于引用转义查询中的字符串。该函数能引用其他字符,从而使得它们在日志文件中具有更好的可读性)。

MySql手册上面的话总是令人费解的。

我们为了更深层次的探究这两个函数的不同,还是去看一看PHP的源码吧。

这是PHP的addslashes函数:

PHP_FUNCTION(addslashes)

   {

        zval **str;

       if (ZEND_NUM_ARGS() != 1 || zend_get_parameters_ex(1, &str) == FAILURE) {

            WRONG_PARAM_COUNT;

        }

        convert_to_string_ex(str);

       if (Z_STRLEN_PP(str) == 0) {

            RETURN_EMPTY_STRING();

        }

        RETURN_STRING(php_addslashes(Z_STRVAL_PP(str),

                                     Z_STRLEN_PP(str),

                                     &Z_STRLEN_P(return_value), 0

                                     TSRMLS_CC), 0);

   }

很显然,它调用了 php_addslashes,我们继续看这个函数,

PHPAPI char *php_addslashes(char *str, int length, int *new_length, int should_free TSRMLS_DC)

    {

        return php_addslashes_ex(str, length, new_length, should_free, 0 TSRMLS_CC);

    }

结果又是在调用 php_addslashes_ex,我们就像在剥洋葱一样,一步一步的接近真理。

PHPAPI char *php_addslashes_ex(char *str, int length, int *new_length, int should_free, int ignore_sybase TSRMLS_DC)

    {

        /* maximum string length, worst case situation */

        char *new_str;

        char *source, *target;

        char *end;

        int local_new_length;

        if (!new_length) {

             new_length = &local_new_length;

         }

        if (!str) {

             *new_length = 0;

            return str;

         }

         new_str = (char *) safe_emalloc(2, (length ? length : (length = strlen(str))), 1);

         source = str;

         end = source + length;

         target = new_str;

        if (!ignore_sybase && PG(magic_quotes_sybase)) {

            while (source < end) {

                switch (*source) {

                    case '\0':

                         *target++ = '\\';

                         *target++ = '0';

                        break;

                    case '\'':

                         *target++ = '\'';

                         *target++ = '\'';

                        break;

                    default:

                         *target++ = *source;

                        break;

                 }

                 source++;

             }

         } else {

            while (source < end) {

                switch (*source) {

                    case '\0':

                         *target++ = '\\';

                         *target++ = '0';

                        break;

                    case '\'':

                    case '\"':

                    case '\\':

                         *target++ = '\\';

                        /* break is missing *intentionally* */

                    default:

                         *target++ = *source;

                        break;

                 }

                 source++;

             }

         }

         *target = 0;

         *new_length = target - new_str;

        if (should_free) {

             STR_FREE(str);

         }

         new_str = (char *) erealloc(new_str, *new_length + 1);

        return new_str;

    }

上面的函数已经非常清楚的描述出都要转义哪些字符了,现在我们去看一看 mysql_real_escape_string

这个不在string.c里了,是在mysql扩展中。

PHP_FUNCTION(mysql_real_escape_string)

    {

         zval *mysql_link = NULL;

        char *str;

        char *new_str;

        int id = -1, str_len, new_str_len;

         php_mysql_conn *mysql;

        if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "s|r", &str, &str_len, &mysql_link) == FAILURE) {

            return;

         }

        if (ZEND_NUM_ARGS() == 1) {

             id = php_mysql_get_default_link(INTERNAL_FUNCTION_PARAM_PASSTHRU);

             CHECK_LINK(id);

         }

         ZEND_FETCH_RESOURCE2(mysql, php_mysql_conn *, &mysql_link, id, "MySQL-Link", le_link, le_plink);

         new_str = safe_emalloc(str_len, 2, 1);

         new_str_len = mysql_real_escape_string(&mysql->conn, new_str, str, str_len);

         new_str = erealloc(new_str, new_str_len + 1);

         RETURN_STRINGL(new_str, new_str_len, 0);

    }

这个函数并没有像上面的那样剥洋葱,而是直接调用了MySql的C的API,mysql_real_escape_string()。

需要注意的是,这个函数在调用 mysql_real_escape_string 这个API之前,先是判断了是否连接上了数据库,

CHECK_LINK(id);   // 就是这句

所以,这就意味着 mysql_real_escape_string 必须是连接数据库之后才能使用。为了证实这一点,我们来简单的实验下:

<?php

echo mysql_real_escape_string("fdsafda'fdsa");

结果:

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'ODBC'@'localhost' (using password: NO) in PHPDocument1 on line 2

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: A link to the server could not be established in PHPDocument1 on line 2

果然报错了,显示没有链接上数据库。

好了,总结就先告一段落。

终于明白为什么那么多开源的程序比如 Discuz 用 addslashes 而不用 mysql_real_escape_string 了。

所以呢,以后也就用 addslashes 好了,暂时可以忘记掉 mysql_real_escape_string 了!

PHP函数 mysql_real_escape_string 与 addslashes 的区别的更多相关文章

  1. magic_quotes_gpc、mysql_real_escape_string、addslashes的区别及用法

    本篇文章,主要先重点说明magic_quotes_gpc.mysql_real_escape_string.addslashes 三个函数方法的含义.用法,并举例说明.然后阐述下三者间的区别.关系.一 ...

  2. DLL导出函数和类的定义区别 __declspec(dllexport)

    DLL导出函数和类的定义区别 __declspec(dllexport) 是有区别的, 请看 : //定义头文件的使用方,是导出还是导入 #if defined(_DLL_API) #ifndef D ...

  3. SQL Server排序函数row_number和rank的区别

    SQL Server排序函数row_number和rank的区别 直接看测试结果 declare @table table(name varchar(100),amount int, memo var ...

  4. 详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别

    详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别 http://blog.sina.com.cn/s/blog_686999de0100jgda.html   实例: ...

  5. onAttachedToWindow () 和 onDetachedFromWindow () ; 以及更新视图的函数ondraw() 和dispatchdraw()的区别

    protected void onAttachedToWindow() This is called when the view is attached to a window. At this po ...

  6. oracle函数和存储过程有什么区别

    oracle函数和存储过程有什么区别 1. 返回值的区别,函数有1个返回值,而存储过程是通过参数返回的,可以有多个或者没有 2.调用的区别,函数可以在查询语句中直接调用,而存储过程必须单独调用. 函数 ...

  7. 函数strlen()和sizeof的区别

    函数strlen()和sizeof的区别: #include<stdio.h> #include<stdlib.h> #include<string.h> #def ...

  8. Linux可重入函数和线程安全的区别与联系(转)

    *****可重入函数 函数被不同的控制流程调用,有可能在第一次调用还没返回时就再次进入该函数,这称为重入. 当程序运行到某一个函数的时候,可能因为硬件中断或者异常而使得在用户正在执行的代码暂时终端转而 ...

  9. Python: dict setdault函数与collections.defaultdict()的区别

    setdault用法 >>>dd={'hy':1,'hx':2} >>>cc=dd.setdefault('hz',1) >>>cc      返 ...

随机推荐

  1. tabBar自定义

    有时系统的tabBar并不能满足我们的开发需求: 这时,我们需要自定义一个tabBar.直接上代码: // 在tabBarController中用KVC更换掉系统tabBar [self setVal ...

  2. win7 安装 vagrant + centos + virtualbox

    Vagrant 是一款用来构建虚拟开发环境的工具,非常适合 php/python/ruby/java 这类语言开发 web 应用,“代码在我机子上运行没有问题”这种说辞将成为历史. 我的是在win7系 ...

  3. SSL 通信原理及Tomcat SSL 双向配置

    SSL 通信原理及Tomcat SSL 双向配置 目录1 参考资料 .................................................................. ...

  4. vim 配置快捷以使复制可用

    "设置快捷以使用xshell的复制 let g_copy_mode = function! CopyToggle() let g:g_copy_mode = set mouse=c set ...

  5. Varnish Cache

    1 Varnish简介 Varnish是高性能且开源的反向代理服务器和HTTP加速器(cache server).其开发者Poul-Henning Kamp是FreeBSD核心的开发人员之一.Varn ...

  6. ngx_http_core_module模块提供的变量

    ngx_http_core_module模块在处理请求时,会有大量的变量,这些变量可以通过访问日志来记录下来,也可以用于其它nginx模块.在我们对请求做策略如改写等等都会使用到一些变量,顺便对ngx ...

  7. spring中依赖注入与aop讲解

    一.依赖注入 这个属于IOC依赖注入,也叫控制反转,IOC是说类的实例由容器产生,而不是我们用new的方式创建实例,控制端发生了改变所以叫控制反转. 1 2 3 4 5 6 7 8 9 10 11 1 ...

  8. Html标签中Alt和Title都是提示性语言标签

    在Html标签中Alt和Title都是提示性语言标签,在我们浏览一些网页时,鼠标停留在一张图片或文字链接上时,在鼠标的右下角出现一个提示信息框,对目标进行一定的注释说明,这就是它们的作用.    其中 ...

  9. HDU 5624 KK's Reconstruction

    这题目测是数据水了.我这种暴力写法显然是可以卡超时的. 假设有2000个点,15000条边,前面10000条不能构成树,后面5000条可以,这种数据显然可以卡超时. #include <stdi ...

  10. 25个Linux性能监控工具

    一段时间以来,我们在网上向读者介绍了如何为Linux以及类Linux操作系统配置多种不同的性能监控工具.在这篇文章中我们将罗列一系列使用最频繁的性能监控工具,并对介绍到的每一个工具提供了相应的简介链接 ...