SQL防注入 检查和转换变量的类型和格式。例如id这些要用intval函数转换为数字 sql语句的变量用单引号取代直接填写。 过滤特殊字符。用addslashes函数对特殊字符' " 等前面自动添加。 绑定变量,使用预编译语句。(这是最有效的方法)