因此，在我正在编写的此程序中，我实际上是使用表单从用户那里获取SQL查询。然后，我继续在数据库上运行该查询。

我知道不要“信任”用户输入，因此我想对输入进行清理。我正在尝试使用，mysql_real_escape_string但未能成功使用。

输入以下内容，这就是我要尝试的内容： select * from Actor;

//"query" is the input string: 
$clean_string = mysql_real_escape_string($query, $db_connection); 
$rs = mysql_query($clean_string, $db_connection); 
if (!$rs) 
{ 
    echo "Invalid input!"; 
}

这总是给我

“输入无效！”

错误。

当我取出clean_string零件并仅对mysql_query查询运行时，

“输入无效”

不输出信息。相反，当我这样做时：

$rs = mysql_query($query, $db_connection); 
if (!$rs) 
{ 
   echo "Invalid input!"; 
}

它不输出

“输入无效”。

但是，我需要使用该mysql_real_escape_string功能。我究竟做错了什么？

更新：

鉴于 select * from Actor;作为输入，我发现以下。

通过使用echo语句，我发现在清除之前，该字符串包含值： select * from Actor;
这是正确的。但是，在清理之后，它保留的错误值select *\r\nfrom Actor;，因此会显示错误消息。为什么
mysql_real_escape_string要这样做？