PHP 函数 array_map() 和 call_user_f

最近看了某作者mostone的一篇文章，觉得写的不错，分享如下

function  mressf ()
{
     $args  =  func_get_args ();
    if ( count ( $args ) <  2 )
        return  false ;
     $query  =  array_shift ( $args );
     $args  =  array_map ( 'mysql_real_escape_string' ,  $args );
     array_unshift ( $args ,  $query );
     $query  =  call_user_func_array ( 'sprintf' ,  $args );
    return  $query ;
}

这段代码的用意是对 mysql 的查询语句中所出现的参数进行转义操作，以避免数据库注入攻击。

这段函数，对参数数目的要求是必须大于2个，第一个是 含 sprintf 格式化语法的字符串，后面则跟需格式化的参数值。

$query = array_shift($args); // 取出传入的第一个参数（SQL语句），$args 只留下其它SQL语句对应的参数
$args = array_map('mysql_real_escape_string', $args); // 对数组中的所有值，调用 mysql_real_escape_string 分别进行转义处理，再返回对应的数组

array_unshift($args, $query); // 将 SQL 语句放回到 $args 数组中，成为数组的第一项。

$query = call_user_func_array('sprintf', $args); // 再调用函数 sprintf ，并将数组作为传入参数。

使用例：

printf(mressf("select * from users where username='%s' and password='%s'", 'username', "password' OR '1'='1"));

输出应该是：

select * from users where username='username' and password='password\' OR \'1\'=\'1'