一个简单的方法是使用像CodeIgniter或Laravel这样的PHP框架，它具有内置的过滤和活动记录等功能，因此您不必担心这些细微差别。

使用PDO和准备好的查询。

（$conn是PDO对象）

$stmt = $conn->prepare("INSERT INTO tbl VALUES(:id, :name)");
$stmt->bindValue(':id', $id);
$stmt->bindValue(':name', $name);
$stmt->execute();

有许多方法可以防止SQL注入和其他SQL攻击。你可以很容易地在互联网上找到它（谷歌搜索）。当然，PDO是一个很好的解决方案。但我想建议您一些防止SQL注入的良好链接。

什么是SQL注入以及如何防止

SQL注入PHP手册

Microsoft对PHP中SQL注入和预防的解释

还有一些类似于防止MySQL和PHP的SQL注入。

现在，为什么需要防止SQL注入查询？

我想告诉您：为什么我们要通过下面的一个简短示例来防止SQL注入：

查询登录身份验证匹配：

$query="select * from users where email='".$_POST['email']."' and password='".$_POST['password']."' ";

现在，如果有人（黑客）

$_POST['email']= admin@emali.com' OR '1=1

和密码。。。。

查询将被解析到系统中，直到：

$query="select * from users where email='admin@emali.com' OR '1=1';

另一部分将被丢弃。那么，会发生什么？未经授权的用户（黑客）可以以管理员身份登录，而无需密码。现在，他/她可以做管理员/电子邮件管理员可以做的任何事情。看，如果不阻止SQL注入，这是非常危险的。

警告：本答案中描述的方法仅适用于非常特定的场景，并不安全，因为SQL注入攻击不仅仅依赖于能够注入X=Y。

如果攻击者试图通过PHP的$_GET变量或URL的查询字符串侵入表单，如果他们不安全，您将能够抓住他们。

RewriteCond %{QUERY_STRING} ([0-9]+)=([0-9]+)
RewriteRule ^(.*) ^/track.php

因为1=1、2=2、1=2、2=1、1+1=2等……是攻击者SQL数据库的常见问题。也许它也被许多黑客应用程序使用。

但您必须小心，不能从站点重写安全查询。上面的代码为您提供了一个提示，可以重写或重定向（这取决于您）将特定的动态查询字符串黑客入侵到一个页面中，该页面将存储攻击者的IP地址，甚至是他们的COOKIES、历史记录、浏览器或任何其他敏感信息，因此您可以稍后通过禁用他们的帐户或联系当局来处理他们。

对于那些不确定如何使用PDO（来自mysql_函数）的人，我制作了一个非常非常简单的PDO包装器，它是一个单独的文件。它的存在是为了显示应用程序需要做的所有常见事情是多么容易。适用于PostgreSQL、MySQL和SQLite。

基本上，在阅读手册的同时阅读它，了解如何在实际生活中使用PDO函数，从而使以所需格式存储和检索值变得简单。

我想要一列$count=数据库：：列（'SELECT count（*）FROM `user`'）；我想要一个数组（key＝＞value）结果（即，用于生成一个选择框）$pairs=数据库：：pairs（'SELECT `id'，`username`FROM`user`'）；我想要单行结果$user=DB:：行（'SELECT*FROM`user`WHERE `id`=？'，数组（$user_id））；我想要一系列结果$banned_users=DB:：fetch（'SELECT*FROM `user`WHERE `banned`=？'，数组（'RUE'））；

一个简单的方法是使用像CodeIgniter或Laravel这样的PHP框架，它具有内置的过滤和活动记录等功能，因此您不必担心这些细微差别。