mysql_real_escape_string[] adalah fungsi PHP yang digunakan untuk memberi backslash di beberapa kode untuk ditampilkan pada halaman, namun saat menyimpan menuju sql, kode akan tetap normal tanpa ada backslash.
Beberapa kode tersebut antara lain x00,n,r,,’,” dan x1a. Berbeda dengan fungsi addslashes[] maupun stripslashes[] yang kedua berkaitan dengan tanda slash, dan pada saat menyimpan beberapa kode itu akan berubah, namun tidak untuk mysql_real_escape_string[] karena kegunaan-nya khusus pada MySQL dan termasuk pada pengaman.
Banyak developer CMS/Situs yang masih tidak dapat mengamankan websitenya dari para hacker yang selalu mengincar database, dan kesalahan yang dipakai adalah menampilkan konten langsung dengan mysql_fetch tanpa menambah mysql_real_escape_string. Dan sesaat dipanggil dengan menambahkan tanda petik [‘] pada url variable terlihat erorr, sehingga dapat diproses oleh hacker tersebut untuk mencari username dan password admin.
Seperti pada halaman login yang harus mencari username dan password yang cocok di database dengan fungsi SELECT, dapat diakalin juga dengan tanda berkaitan petik. dan ini dapat menimbulkan bahaya karena bisa membobol halaman admin lalu merusak website itu.
Untuk mencegahnya gunakan fungsi mysql_real_escape_string[] setiap menampilkan rows dari database supaya tidak terjadi hal-hal yang tidak diinginkan pada website. Saya hanya dapat menjelaskan sedikit tentang fungsi ini dan silahkan lihat kode dibawah ini.!
BENAR