防sql注入

1.对提交的转义

// 如果启用了魔术引号

echo $_POST['lastname'];             // O\'reilly

echo addslashes($_POST['lastname']); // O\\\'reilly

// 适用各个 PHP 版本的用法

if (get_magic_quotes_gpc()) {

    $lastname = stripslashes($_POST['lastname']);

}

else {

    $lastname = $_POST['lastname'];

}

// 如果使用 MySQL

$lastname = mysql_real_escape_string($lastname);

echo $lastname; // O\'reilly

$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";