网上流传比较多的方法是
addslashes() :函数在指定的字符前添加反斜杠。
这些预定义字符是:
•单引号 (')
•双引号 (")
•反斜杠 (\)
•NULL
mysql_real_escape_string() :转义 SQL 语句中使用的字符串中的特殊字符。
\x00
\n
\r
\
'
"
\x1a
对此可参考:
PHP防SQL注入不要再用addslashes和mysql_real_escape_string
目前最好的办法:
mysqli prepare 防止sql注入最好办法之一(PDO)
并且mysql在php7废除。