一封老邮件：

之前出现的问题就是当数据库字符集设置为gbk时，%bf%27这个调用mysql_real_escape_string转化后会出现%bf%5c%27仍然会出现安全问题。

例子:

http://ilia.ws/archives/103-mysql_real_escape_string-versus-Prepared-Statements.html

中文介绍:

http://www.cnblogs.com/Safe3/archive/2008/08/22/1274095.html

文中采用如下方式去设置字符集，当然我们看到大部分程序都是通过这种方式设置字符集的:

mysql_query(“SET CHARACTER SET ‘gbk'”, $c); 或者mysql_query(“SET NAMES ‘gbk’ “, $c);

这种调用会导致mysql_real_escape_string 出现问题，也就是比较常见的%bf%27转义后会成为%bf%5c%27，但是%bf%5c是一个合法的gbk字符，导致了安全问题的产生

值得注意是在php手册中说明了这个函数会根据当前字符集处理转义。也就是说这种情况下，并没有根据当前字符集（我们设置的gbk）进行转义还是采用了latin1，或者说明上面的这句话并不会改变mysql_real_escape_string对字符集的认识。

做个试验会发现你如果用mysqli(mysql的一个扩展方式php_mysqli.dll)的方法$mysqli->set_charset设置字符集之后，调用$mysqli->real_escape_string（也是转义函数）就能够正常处理这个问题了，%bf%27会转化为%5c%bf%5c%27。而不是%bf%5c%27

说明一下两种php调用mysql的流程:

1)调用mysql_real_escape_string是调用在php_mysql.dll扩展中定义的php函数，然后最终会调用libmysql.dll的导出函数mysql_real_escape_string

2)调用$mysqli->real_escape_string是调用在php_mysqli.dll扩展中定义的php函数，然后最终也会调用libmysql.dll的导出函数mysql_real_escape_string

可以看出两种方式都最终都调用了相同的函数，所以看来php_mysql.dll中的mysql_real_escape_string并没有根据set names ‘gbk’进行转化。

通过参考 http://dev.mysql.com/doc/refman/5.1-maria/en/mysql-real-escape-string.html 中的一段话可以发现:

If you need to change the character set of the connection, you should use the mysql_set_character_set() function rather than executing a SET NAMES (or SET CHARACTER SET) statement. mysql_set_character_set() works like SET NAMES but also affects the character set used by mysql_real_escape_string(), which SET NAMES does not.

这表明set names只是设置了服务器端的编码，对mysql_real_escape_string()没有影响，所以有效地方式是调用mysql_set_character_set()，php_mysqli里面有相关调用。在“低版本”的php_mysql.dll中没有定义可以设置charset的接口，所以不得不采用set names 的方式，所以导致了问题的产生。

在高版本php中，PHP 5 >= 5.2.3有了一个新函数mysql_set_charset这时设置字符集后，就不会在产生转义导致的安全问题了。

这个问题还是比较典型，最开始是mysql的bug，没有考虑多字节的转义，后来php又没有提供相应的php函数接口，导致安全问题的产生，具体细节请看参考连接。

Discuz的处理方式:

调用先调用SET NAMES gbk , 然后 SET character_set_client = binary 设置连接参数，这句话会保证%bf%5c%27 select不会产生问题，但最终查了什么我试了很多次都没有得到结果，这里面有一个问题就是，如果在insert时就会导致connection转化client导致转化成空的字符，所以也谈不上完美的方式。

解决方法：

Mysql升级到高版本；

升级php到高版本或者添加自定义补丁到低版本php中添加对mysql_set_character_set()的调用，或者低版本中采用mysqli；

参考:

http://bugs.mysql.com/bug.php?id=8378