# 字符串处理,加单引号 可一定程度的防注入。 $ 直接引用不做处理,比如数字 如果SQL 中的数字字段也用 # 的话。SQL 执行时就需要转义,多了一些无用的性能损耗。 参考: http://www.cnblogs.com/hellokitty1/p/6007801.html http://blog.sina.com.cn/s/blog_5c5bc9070100z295.html http://blog.csdn.net/dengjiexian123/article/details/53863038