如何在PHP中防止SQL注入
1: 使用PDO对象(对于任何数据库驱动都好用)
2: addslashes用于单字节字符串的处理,
3: 多字节字符用mysql_real_escape_string吧。
另外对于php手册中get_magic_quotes_gpc的举例:
if (!get_magic_quotes_gpc()) { $lastname = addslashes($_POST[‘lastname’]); } else { $lastname = $_POST[‘lastname’]; }
