Почему некорректно работает метод mysqli::real_escape_string?

Question

[D3lphi]

Не так давно заметил, что метод mysqli::real_escape_string работает некорректно. А именно, он вносит неэкранированную строку в базу данных.

К примеру, есть код:

$db = new mysqli('localhost', 'root', '', 'db');
$db->set_charset("utf8");

$val1 = $db->real_escape_string('"str"ing1""');
$val2 = $db->real_escape_string('string"2"v');
$query = $db->query("INSERT INTO `test` VALUES ('','$val1', '$val2', '1765')");

echo $val1 . "<br>";
echo $val2;

После его выполнения, как и следует ожидать на экран выводиться 2 экраннированных строки: \"str\"ing1\"\" и
string\"2\"v. Но в базу данных вносятся исходные данные: "str"ing1"" и string"2"v.

Что делать? Или, может быть, я чего-то не понимаю?
Версия php: 5.4

Comments

[Uwe_Boll]

версия пышки какая?

[D3lphi]

Uwe_Boll: 5.4

[Uwe_Boll]

Богдан: результат этого var_dump(get_magic_quotes_gpc()); в студию

[D3lphi]

Uwe_Boll: false. На php.net написано: "5.4.0 Всегда возвращает FALSE, так как функционал магических кавычек удален из PHP.".

[Uwe_Boll]

а теперь загони постом можешь даже гетом Брайана О'Коннора и посмотри что выйдет

Answer 1

[Rsa97]

Всё правильно. Функция real_escape_string готовит строку для передачи от клиента серверу. Сервер восстанавливает строку в исходный вид.

Comments

[D3lphi]

Тоесть, все работает правильно и строк уже относительно безопасна?

[Rsa97]

Богдан: Да. Но в целом лучше использовать параметризованные запросы, хотя в mysqli они и не очень удобно реализованы.