สำนักวิทยบริการและเทคโนโลยีสารสนเทศ (สวส.)

Office of Academic Resources and Information Technology

PHP การใช้งานฟังก์ชัน mysql_real_escape_string() เพื่อหลีกเลี่ยง SQL Injection

mysql_real_escape_string() 
     เป็นฟังก์ชันสำหรับเลี่ยงการใช้ตัวอักขระพิเศษในคำสั่ง sql เช่น เครื่องหมาย " เครื่องหมาย ' เป็นต้น 
เพื่อให้ได้คำสั่ง sql ที่ปลอดภัยสำหรับการ query หรือปลอดภัยจากการเรียกใช้ฟังก์ชัน mysql_query ยกเว้น
เครื่องหมาย % และ _ ซึ่งมีใช้ในคำสั่ง sql

ตัวอย่างการใช้งานฟังก์ชัน
$username = mysql_real_escape_string($_POST['username']);
$passwd = mysql_real_escape_string($_POST['passwd']);
ประเภทบทความ: