我在這里看到一些人指出，使用串聯(lián)查詢mysql_real_escape_string不會(huì)（完全）保護(hù)您免受SQL注入攻擊。但是，我還沒(méi)有看到一個(gè)輸入示例，該示例說(shuō)明了mysql_real_escape_string無(wú)法保護(hù)您免受攻擊的攻擊。大多數(shù)示例都忘記了mysql_query僅限于一個(gè)查詢并且使用mysql_real_escape_string不正確。我能想到的唯一示例如下：mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));這不會(huì)保護(hù)您免受以下輸入的影響：5 OR 1=1我認(rèn)為這是不正確的用法，mysql_real_escape_string而不是缺點(diǎn)，它是為字符串而非數(shù)字值設(shè)計(jì)的。您應(yīng)該轉(zhuǎn)換為數(shù)字類型，或者如果要在消毒時(shí)將輸入視為字符串，則應(yīng)在查詢中執(zhí)行相同的操作，并在其周圍引起雙引號(hào)。誰(shuí)能提供一個(gè)mysql_real_escape_string不依賴于數(shù)字值錯(cuò)誤處理而又mysql_query可以僅執(zhí)行一個(gè)查詢的輸入示例嗎？編輯：我mysql_real_escape_string對(duì)替代品的局限性很感興趣，并且沒(méi)有將其與替代品進(jìn)行比較，我意識(shí)到新項(xiàng)目有更好的選擇，并且對(duì)此沒(méi)有爭(zhēng)議。