摘要： a．打开magic_quotes_gpc或使用addslashes()函数 当php.ini里的magic_quotes_gpc为On时。提交的变量中所有的'(单引号),"(双引号),\(反斜线)and空字符会自动转为含有反斜线的转义字符，给SQL注入带来不少的麻烦。b．强制字符格式（类型）在很多时候我们要用到类似xxx.php?id=xxx这样的URL，一般来说$id都是整型变量，为了防范攻击者把$id篡改成攻击语句，我们要尽量强制变量，代码如下：PHP防范SQL注入的代码$id=intval($_GET[‘id’]);当然，还有其他的变量类型，如果有必要的话尽量强制一下格 阅读全文