在MySQL里面，有一些函數(shù)可以幫助我們轉(zhuǎn)義字符串，防止出現(xiàn)一些特殊符號(hào)導(dǎo)致的 SQL 注入問(wèn)題。

SELECT * FROM user WHERE username = 'john\'';

上面的 SQL 語(yǔ)句中，我們用了反斜杠來(lái)轉(zhuǎn)義了單引號(hào)，這樣可以避免查詢出現(xiàn) SQL 注入的錯(cuò)誤。但是如果 SQL 語(yǔ)句中有大量的需要轉(zhuǎn)義的字符，那么手動(dòng)添加反斜杠就會(huì)變得非常麻煩。在這種情況下，MySQL 自帶了轉(zhuǎn)義函數(shù)，可以方便地對(duì)字符串進(jìn)行轉(zhuǎn)義。

MySQL 提供了兩個(gè)轉(zhuǎn)義函數(shù)：QUOTE()和ESCAPE()。

SELECT * FROM user WHERE username = QUOTE('john\'');
SELECT * FROM user WHERE username = 'john\\'' ESCAPE '\\';

第一個(gè)語(yǔ)句中，我們使用了QUOTE()函數(shù)來(lái)轉(zhuǎn)義單引號(hào)和雙引號(hào)，這樣就不需要手動(dòng)添加反斜杠。第二個(gè)語(yǔ)句中，我們使用了ESCAPE()函數(shù)，指定了轉(zhuǎn)義字符為反斜杠。這樣我們只需要在需要轉(zhuǎn)義的字符前面加上反斜杠即可。

轉(zhuǎn)義函數(shù)在防止 SQL 注入方面非常重要，我們應(yīng)該在編寫(xiě) SQL 語(yǔ)句的時(shí)候盡可能地使用它們。