我在這里看到一些人指出，使用串聯查詢mysql_real_escape_string不會（完全）保護您免受SQL注入攻擊。但是，我還沒有看到一個輸入示例，該示例說明了mysql_real_escape_string無法保護您免受攻擊的攻擊。大多數示例都忘記了mysql_query僅限于一個查詢并且使用mysql_real_escape_string不正確。我能想到的唯一示例如下：mysql_query('DELETE FROM users WHERE user_id = '.mysql_real_escape_string($input));這不會保護您免受以下輸入的影響：5 OR 1=1我認為這是不正確的用法，mysql_real_escape_string而不是缺點，它是為字符串而非數字值設計的。您應該轉換為數字類型，或者如果要在消毒時將輸入視為字符串，則應在查詢中執行相同的操作，并在其周圍引起雙引號。誰能提供一個mysql_real_escape_string不依賴于數字值錯誤處理而又mysql_query可以僅執行一個查詢的輸入示例嗎？編輯：我mysql_real_escape_string對替代品的局限性很感興趣，并且沒有將其與替代品進行比較，我意識到新項目有更好的選擇，并且對此沒有爭議。