为什么需要关注MySQL插入安全？

当您将HTML内容存储到MySQL数据库时，如果不对特殊字符进行处理，可能会导致SQL语句语法错误，甚至引发SQL注入攻击。最常见的风险是字符串中的单引号、双引号、反斜杠未转义。

转义规则

在SQL语句中，字符串值必须用引号包围，如果字符串本身包含引号，则需要转义。MySQL中使用反斜杠进行转义，例如：

INSERT INTO content (html) VALUES ('
It\'s a test
');

单引号被转义为 \'，双引号通常不需要转义（但若sql_mode包含ANSI_QUOTES则双引号用于标识符），反斜杠本身也要转义（\\）。

推荐做法

• 使用参数化查询：这是最安全的方法，能彻底避免SQL注入。例如使用PDO预处理语句：$stmt = $pdo->prepare("INSERT INTO table (html) VALUES (?)"); $stmt->execute([$html]);
• 使用框架的ORM：ThinkPHP等框架自带数据过滤和绑定，可以安全存储数据。
• 手动转义：如果不使用预处理，必须对输入进行转义，如PHP的mysqli_real_escape_string()或addslashes()，但注意addslashes()不如数据库专用转义函数安全。

XSS风险

存储到数据库的HTML在输出到页面时，如果直接显示而不做过滤，可能导致跨站脚本攻击（XSS）。建议在输出时使用htmlspecialchars()转义，或者根据场景使用HTMLPurifier等库进行过滤。