什么是sql 注入及如何预防 sql 注入

SQL 注入攻击指的是用户或者黑客通过构建特殊的输入作为参数传入我们的 Web 应
用程序端，而这些输入大都是 SQL 语法里的一些组合，通过执行 SQL 语句进而执行攻击
者所要的操作，其主要原因是程序员没有细致地过滤用户输入的数据，致使非法数据侵
入系统而造成的。因此我们在做开发过程中一定要预防 sql 注入，主要从两方面着手：
1、占位符的方式，就是对 sql 语句进行预处理，然后执行 sql 语句
2、通过 addslashes 或者 mysql_real_escape_string 这两个函数对用户输入的值进行
转义处理，把一些特殊的字符转义掉。