mysqli_real_escape_string()

این متد از بهترین روشها برای رهایی یک رشته و یا داده ورودی توسط کاربر از کدهای مخرب sql است.

syntax

mysqli_real_escape_string( connection,escapestring )

همیشه پیش از استفاده یک داده دریافت شده از یک باکس ورودی و داده ای که توسط متد get دریافت می شود  باید آنرا پاکسازی کرد.

با بررسی مثال زیر متوجه روش استفاده از این متد خواهید شد :

$con=mysqli_connect( "localhost" ,"user","pass ","my_db" ) ;

// Check connection

if mysqli_connect_errno($con))

  {

  echo "Failed to connect to MySQL: " . mysqli_connect_error() ; 

  }

$username = $_POST[ 'username' ];       

$uname=mysqli_real_escape_string( $con,$username );

$q ="SELECT `id` FROM `tbl_user` WHERE `username`='$uname' " ;

  $r =mysqli_query($con,$q) ;

   $result =mysqli_fetch_assoc($r) ;

echo $result ;