出现sql注入一般都是因为语法不规范不严谨造成的，问题出现在sql语句上，而起决定性的是quote（’）。如下：
$sql = delete from table where id ='$id' ;
正常提交的话就是删除一条数据，若id提交的是（1 ’ or 1 #）,那么sql语句就变成了
delete from table where id = '1'or 1 #';
这样的话就会把整个表给删掉，造成无法挽回的结果。
既然问题出现在quote上，那么只要将其转义即可（\’）
php提供两个函数使用addslashes($str)//建议使用下面的，可以避免出现字符集问题mysql_real_escape_string($str,$link)
//避免整型数据可能不被sql增加引号，强制在转换后的数据使用引号包裹function($str){return'.mysql_real_escape_string($str,$this->link).';}
').addclass('pre-numbering').hide(); $(this).addclass('has-numbering').parent().append($numbering); for (i = 1; i ').text(i)); }; $numbering.fadein(1700); }); }); 以上就介绍了php之预防sql注入，包括了方面的内容，希望对php教程有兴趣的朋友有所帮助。