使用mysql_real_escape_string()时出错

使用mysql_real_escape_string()时出错是因为该函数在PHP 5.5.0版本中已被废弃，并在PHP 7.0.0版本中被移除。该函数用于对字符串进行转义，以防止SQL注入攻击。然而，由于现代的PHP框架和库已经提供了更安全和更方便的方法来处理SQL查询，因此不再建议使用mysql_real_escape_string()。

相反，推荐使用参数化查询或预处理语句来防止SQL注入攻击。参数化查询使用占位符来代替查询中的变量，并将变量的值作为参数传递给数据库引擎。这样可以确保变量的值不会被解释为SQL代码，从而有效地防止SQL注入攻击。

以下是使用参数化查询的示例代码：

// 假设 $conn 是数据库连接对象

// 准备查询语句
$query = "SELECT * FROM users WHERE username = :username AND password = :password";

// 准备查询参数
$params = array(
    ':username' => $username,
    ':password' => $password
);

// 执行查询
$stmt = $conn->prepare($query);
$stmt->execute($params);

// 获取结果
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

在上述示例中，我们使用了PDO扩展提供的参数化查询功能。通过将变量的值作为参数传递给execute()方法，PDO会自动处理转义和安全性，从而避免了SQL注入攻击。

对于MySQL数据库，腾讯云提供了适用于PHP的云数据库MySQL版（TencentDB for MySQL），它是一种高性能、可扩展的关系型数据库解决方案。您可以通过以下链接了解更多关于腾讯云数据库MySQL版的信息：

腾讯云数据库MySQL版：https://cloud.tencent.com/product/cdb_mysql