Tag: SQL

（1）mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集
使用方法如下：

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and 
password='". mysql_real_escape_string($pw)."' limit 1";

使用mysql_real_escape_string()作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。
（2） 打开magic_quotes_gpc来防止SQL注入
php.ini中有一个设置：magic_quotes_gpc = Off这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ‘ 转为 \’等，对于防止sql注射有重大作用。如果magic_quotes_gpc=Off，则使用addslashes()函数