对每个客户端获取来的数据使用以下函数(函数来自于Lynda.com的PHP With MySQL Essential Training视频教程):
function mysql_prep($value) {
//确认magic_quotes是否开启
$magic_quote_active = get_magic_quotes_gpc();
//确定当前版本是否支持mysql_real_escape_string函数
$has_mysql_escape_func = function_exists("mysql_real_escape_string");
if($has_mysql_escape_func) {
//在有mysql_real_escape_string函数时,优先使用此函数
//所以就算开启了Magic Quote也去掉他的效果
if($magic_quote_active) {
$value = stripslashes($value);
}
$value = mysql_real_escape_string($value);
} else if(!$magic_quote_active) {
//当无法使用mysql_real_escape_string函数,但是Magic Quote开启时不作处理。
//当两者都不可使用时,直接加上跳脱字符(Escape Character),也就是单斜杠
$value = addslashes($value);
}
return $value;
}