mysql_real_escape_string

<?php
// 连接到 MySQL 数据库
$connection = mysqli_connect("localhost", "username", "password", "database");

// 检查连接是否成功
if (!$connection) {
    die("Connection failed: " . mysqli_connect_error());
}

// 用户输入的数据
$user_input = "O'Reilly";

// 使用 mysql_real_escape_string 函数来转义特殊字符
// 注意：mysql_real_escape_string 已经被弃用，建议使用 mysqli_real_escape_string 或 PDO
$escaped_input = mysqli_real_escape_string($connection, $user_input);

// 构建 SQL 查询语句
$query = "SELECT * FROM books WHERE author = '$escaped_input'";

// 执行查询
$result = mysqli_query($connection, $query);

// 检查是否有结果返回
if (mysqli_num_rows($result) > 0) {
    // 输出数据
    while($row = mysqli_fetch_assoc($result)) {
        echo "id: " . $row["id"]. " - Name: " . $row["name"]. "<br>";
    }
} else {
    echo "0 results";
}

// 关闭连接
mysqli_close($connection);
?>

解释说明：

1. 连接数据库：首先通过 mysqli_connect 函数连接到 MySQL 数据库。
2. 用户输入：假设用户输入了一个包含单引号的字符串 "O'Reilly"。
3. 转义特殊字符：使用 mysqli_real_escape_string 函数对用户输入进行转义，以防止 SQL 注入攻击。注意，mysql_real_escape_string 已经被弃用，建议使用 mysqli_real_escape_string 或者更好的选择是使用 PDO 和预处理语句。
4. 构建查询：将转义后的字符串插入到 SQL 查询中。
5. 执行查询并处理结果：执行查询并检查是否有结果返回，如果有则输出结果。
6. 关闭连接：最后关闭数据库连接。

注意：

• mysql_real_escape_string 已经被弃用，建议使用 mysqli_real_escape_string 或者更好的选择是使用 PDO 和预处理语句来防止 SQL 注入攻击。