我在這里看到一些人指出，使用串聯(lián)查詢mysql_real_escape_string不會（完全）保護(hù)您免受SQL注入攻擊。但是，我還沒有看到一個輸入示例，該示例說明了mysql_real_escape_string無法保護(hù)您免受攻擊的攻擊。大多數(shù)示例都忘記了mysql_query僅限于一個查詢并且使用mysql_real_escape_string不正確。我能想到的唯一示例如下：mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));這不會保護(hù)您免受以下輸入的影響：5 OR 1=1我認(rèn)為這是不正確的用法，mysql_real_escape_string而不是缺點(diǎn)，它是為字符串而非數(shù)字值設(shè)計的。您應(yīng)該轉(zhuǎn)換為數(shù)字類型，或者如果要在消毒時將輸入視為字符串，則應(yīng)在查詢中執(zhí)行相同的操作，并在其周圍引起雙引號。誰能提供一個mysql_real_escape_string不依賴于數(shù)字值錯誤處理而又mysql_query可以僅執(zhí)行一個查詢的輸入示例嗎？編輯：我mysql_real_escape_string對替代品的局限性很感興趣，并且沒有將其與替代品進(jìn)行比較，我意識到新項目有更好的選擇，并且對此沒有爭議。