方法1??addslashes();
方法2??mysql_escape_string();
方法3??开启魔术引号
方法4??控制用户输入的数据,如:
使用intval防止sql注入,intval()可以把变量转成整数类型,适用于接收纯整数数据
$id=intval($_GET[‘id‘]);
方法5??用PDO对象的quote()方法控制用户输入的数据:
会返回带引号的字符串,并通过反斜线转义来过滤字符串中的特殊字符
用法: $username=$_POST(username);
$username=$pdo->quote($username);
方法6??用PDO对象的prepare()、excute()方法:
用法:
占位符形式1??:
$username=$_POST(username);
$passwd=$_POST(passwd);
$sql="select * from users where username=:a and passwd=:b ;";
$stmt=$pdo->prepare($sql);
$stmt->execute(array(:a=>$username,:b=>$passwd));
占位符形式2??:
$username=$_POST(username);
$passwd=$_POST(passwd);
$sql="select * from users where username=? and passwd=? ;";
$stmt=$pdo->prepare($sql);
$stmt->execute(array($username,$passwd));
原文:http://www.cnblogs.com/yaohunzhanyue/p/5667832.html