为什么我们需要特定于数据库的功能,例如mysql_real_escape_string()?addlashes()不能做什么?
暂时忽略了参数化查询的高级替代方案,是一个仅使用addlashes()的web应用仍然容易受到SQL注入的攻击,如果是,怎么办?
当处理多字节编码的字符串时,加号通常不够好。
