转义sql语句的正确方法是什么？

只是为了纠正问题和答案中的大量错误信息。

1. 不是“声明”，而是字符串文字。转义“SQL语句”是一种直接注入方式。只有字符串必须转义，而其他查询部分需要截然不同的格式和转义，对他们来说不会有丝毫好处。
2. 所有转义/编码混乱只连接到一些边际编码，如GBK。使用UTF-8，您甚至可以使用addslashes（）
3. 由于5.3只要设置了DSN，PDO就可以设置客户端编码。

转义sql语句的正确方法是什么？

In PHP when submitting strings to the database should I take care of illegal characters using htmlspecialchars() or use a regular expression?

什么是使用SET NAMES UTF8可能的漏洞？

无

是mysqli_set_charset（）的正确途径，以指定的charset的连接进行通信？

当然。
必须使用HTML页面上使用的实际字符集。

您可以使用mysqli prepared statements避免SQL注入 - 而不需要担心字符集编码。

来自链路的一个例子：

<?php 
$mysqli = new mysqli("localhost", "my_user", "my_password", "world"); 

/* check connection */ 
if (mysqli_connect_errno()) { 
    printf("Connect failed: %s\n", mysqli_connect_error()); 
    exit(); 
} 

$city = "Amersfoort"; 

/* create a prepared statement */ 
if ($stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) { 

    /* bind parameters for markers */ 
    $stmt->bind_param("s", $city); 

    /* execute query */ 
    $stmt->execute(); 

    /* bind result variables */ 
    $stmt->bind_result($district); 

    /* fetch value */ 
    $stmt->fetch(); 

    printf("%s is in district %s\n", $city, $district); 

    /* close statement */ 
    $stmt->close(); 
} 

/* close connection */ 
$mysqli->close(); 
?> 

传递手动构造查询仅由于向后兼容性问题的支持。现代应用程序绝不应该这样做，而是使用预处理语句。尽管如此，如果您使用手动构建的查询已经死了，正确的方法是使用mysql_real_escape_string（）并将编码设置为UTF-8。

你可以找到在OWASP网站的详细信息：https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

只要你明确地设置字符集连接对象的，你应该罚款：

mysql_set_charset('utf8', $db); // for mysql 
$db->set_charset('utf8'); // for mysqli 

同样的问题与字符集适用于PDO预处理语句，因此PDO是推荐的方式，但在这种情况下它不会使您安全。

使用mysqli_real_escape_string()和定义的字符集没有任何问题。请注意，您使用UTF-8作为连接对象以及HTML页面，这样可以避免很多问题。

我发现这个主题的最好解释是从PHP作者ircmacell，一次为mysql_real_escape_string()，一次为PDO。