mysqli_real_escape_string不能工作吗？

mysqli_real_escape_string函数是PHP中用于对字符串进行转义处理的函数，用于防止SQL注入攻击。它可以将特殊字符转义为安全的字符串，以便在SQL查询中使用。

然而，mysqli_real_escape_string函数并不能完全保证防止SQL注入攻击，因为它只能对字符串中的特殊字符进行转义处理，而不能对整个SQL语句进行检查和过滤。如果在使用mysqli_real_escape_string函数后，仍然存在其他漏洞或不当的SQL语句拼接，仍然可能导致SQL注入攻击。

为了更好地防止SQL注入攻击，建议使用参数化查询（Prepared Statements）或ORM（对象关系映射）框架，如Laravel的Eloquent ORM、Django的ORM等。这些工具可以自动处理SQL语句的参数化，避免了手动拼接SQL语句的风险。

对于PHP开发者，腾讯云提供了云数据库MySQL（TencentDB for MySQL）服务，它是一种高性能、可扩展、高可靠的云数据库解决方案。腾讯云云数据库MySQL支持参数化查询，可以有效地防止SQL注入攻击。您可以通过以下链接了解更多关于腾讯云云数据库MySQL的信息：

腾讯云云数据库MySQL产品介绍：https://cloud.tencent.com/product/cdb_mysql

腾讯云云数据库MySQL文档：https://cloud.tencent.com/document/product/236