可能重复:
Best way to prevent SQL Injection in PHP如何从SQL注入安全MySQL?
这是我的SQL查询,我希望把它的SQL注入自由
$q1="insert into ecat_user(login_id,password,fullname,gender,disp_name,dob,";
$q1.="street_addr,city,country,zip,email,aol,msn,icq,yahoo,homepg_link,homepg_caption,description,";
$q1.="legal_guardian,phoneno,promotioncode,user_type,height,weight,chest,waist,inseam,eyecolor,haircolor,";
$q1.="shoesize,biceps,collar,experience,travel,notes,added_on,updated_on) values('$modelName','$password','$firstName',";
$q1.="'$gender','$description','$dob','$streetAddress','$city','$country','$zipCode','$emailAddress',";
$q1.="'$aolID','$msnID','$icqID','$msnID','$homePage','$homePageCaption','$description','$legalGuardian',";
$q1.="'$phoneNumber','$promotionalCode','','','','','','','','','','','','','','','','')";
mysql_query($q1, $Conn);
$id = mysql_insert_id();
请建议。
[http://php.net/mysqli](http://php.net/mysqli)特异性[准备的语句(http://www.php.net/manual/en/ mysqli.quickstart.prepared-statements.php)开始。 –
请不要在新代码中使用'mysql_ *'函数。他们不再被维护,社区已经开始[弃用流程](http://goo.gl/KJveJ)。请参阅[**红框**](http://goo.gl/GPmFd)?相反,您应该了解[准备好的语句](http://goo.gl/vn8zQ)并使用[PDO](http://php.net/pdo)或[MySQLi](http://php.net/ mysqli的)。如果你不能决定,[本文](http://goo.gl/3gqF9)将有助于选择。如果你关心学习,[这是一本很好的PDO教程](http://goo.gl/vFWnC)。 – PeeHaa
请参阅http://www.tizag.com/mysqlTutorial/mysql-php-sql-injection.php –