所以我正忙着用php，在我想知道的时候把数据插入mysql：我收到一些帖子说用单引号将数据插入数据库是不好的做法。其中一个例子是：当发送到数据库时，为什么在引号之间写值？这篇文章是关于为什么它们写在引号之间，但有一点很清楚：插入这样的内容是不好的做法：

$sql = INSERT INTO example (example1, example2, example3) VALUES 
('$example1', '$example2', '$example3');

为什么这是坏习惯？显然，这是无法注射如上述链接所述。他的问题与评论相关的评论是：我们使用 mysqli_real_escape_string 为了这个。得到的答复是：
@xx在很大程度上，是的，这是一个替代解决问题的办法。它不会禁用任何内容，但会转义某些内容，例如在sql字符串中“变成”或“\”，从而阻止攻击者结束该字符串。在有些尴尬的情况下，这种转义很困难，而且在许多转义调用中很容易漏掉一个，这就是为什么参数化查询被认为是最可靠的方法。
首先：剧本要怎么愚弄 mysqli_real_escape_string 不逃避某些东西？我发现了下面的内容，如果我错了就纠正我：mysqli\u real\u escape\u string-100%安全示例。如你所见，他提到了另一页，上面有答案。然而，他提出了一个声明，应该使他的数据100%安全，而其他人的回答是：
是的，一般来说是安全的。正确使用mysql和mysqli是非常安全的（尽管在非常特定的编码中有特定的bug）。准备好的陈述的好处是用错误的方式做事更困难。
我有下面的例子来说明我自己：我有两个门，一个门是开着的，但是后面一个门是关着的。你会如何用一扇紧闭的门来攻击一扇开着的门？
这里有一个答案：sql注入绕过mysql\u real\u escape\u string（），但他说作为一个安全的例子：

mysql_query('SET NAMES utf8');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");`

不是吗 mysqli_real_escape_string 已经这么做了？他只是在说明应该是什么角色 mysqli_real_escaped_string . 那么这怎么会突然变得安全呢？因为它和你说的完全一样：

$example = mysqli_real_escape_string ($conn, $_POST['exampleVariable']);

那么这是如何做到的：

mysql_query('SET NAMES utf8');
$var = mysql_real_escape_string("\xbf\x27 OR 1=1 /*");
mysql_query("SELECT * FROM test WHERE name = '$var' LIMIT 1");

变得安全，这是：

$example = mysqli_real_escape_string ($conn, $_POST['exampleVariable']);

不是吗？他不是在缩小范围吗 mysqli_real_escape_string 会逃跑，从而使它更脆弱？