本篇文章介绍了，php中防止SQL注入的最佳解决方法。需要的朋友参考下

mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法：”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo，print等 在打印前都要使用htmlentities() 进行过滤，这样可以防止Xss，注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。

如果用户输入的是直接插入到一个SQL语句中的查询，应用程序会很容易受到SQL注入，例如下面的例子:复制代码 代码如下:$unsafe_variable = $_POST[‘user_input’];mysql_query(“INSERT INTO table (column) VALUES (‘” . $unsafe_variable . “‘)”);这是因为用户可以输入类似VALUE”); DROP TABLE表; – ，使查询变成：复制代码 代码如下:INSERT INTO table (c