在開發 PHP 程序時，我們經常需要處理用戶輸入，保障程序不受到 SQL 注入等攻擊。其中最常用的一個函數是 addslashes()。這個函數可以給字符串中的特殊字符加上斜杠，使其可以安全地使用在 SQL 查詢語句中。但是很多開發者在使用 addslashes() 時，卻發現其并沒有起到任何作用。下面我們來深入了解這個問題。

首先，我們需要了解 addslashes() 函數對哪些字符進行轉義。這些字符包括單引號（'）、雙引號（"）、反斜杠（\）和空字符（\0）。我們可以使用一個簡單的例子來驗證 addslashes() 是否有效：

$name = "John O'Brian";
$sql = "INSERT INTO users (name) VALUES ('" . addslashes($name) . "')";
echo $sql;

在正常情況下，上面的代碼會輸出以下內容：

INSERT INTO users (name) VALUES ('John O\'Brian')

我們可以看到，addslashes() 函數成功地將字符串中的單引號轉義成了 \\'，從而避免了 SQL 注入等安全問題。

但是有些情況下，addslashes() 函數并不能達到我們的期望。比如說，我們需要將一個包含多行文本的字符串轉義后存儲到數據庫中。代碼如下：

$text = "This is a\nmulti-line\ntext.";
$sql = "INSERT INTO messages (text) VALUES ('" . addslashes($text) . "')";
echo $sql;

在這種情況下，addslashes() 函數并不能解決問題。因為它只會將包含特殊字符的部分轉義，而不會將整個字符串轉義。上述代碼輸出內容如下：

INSERT INTO messages (text) VALUES ('This is a
multi-line
text.')

我們可以看到，SQL 查詢語句中仍然存在換行符，從而導致了語句執行異常。解決這個問題的方法是使用 mysqli 或者 PDO 等庫提供的預處理語句，而不是依賴于 addslashes() 函數。

除此之外，addslashes() 函數還存在一些其他的缺陷。比如說，在某些編碼格式下，其無法正確地處理某些特殊字符；在處理一些本來就已經經過轉義的字符串時，它會產生一些意外的問題等。因此，在實際開發中，我們應該謹慎使用 addslashes() 函數，盡可能地使用更加安全、可靠的方式來處理用戶輸入。