（1）mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
下列字符受影响：
\x00
\n
\r
\
‘
“
\x1a
如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

使用方法如下：

$username = 'john';
$pw = "' OR ''='";
$sql = "select count(*) as dd  from admin where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";

使用 mysql_real_escape_string() 作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。

（2） 打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置：magic_quotes_gpc = Off
这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
比如把 ‘ 转为 \’等，对于防止sql注射有重大作用。

     如果magic_quotes_gpc=Off，则使用addslashes()函数

    
（3）自定义函数

//检测 SQL 语法特殊字符
function inject_check($sql_str) {
    return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
}


//检测 id 合法性
function verify_id($id=null) {
    if(!$id) {
        exit('没有提交参数！');
    } elseif(inject_check($id)) {
        exit('提交的参数非法！');
    } elseif(!is_numeric($id)) {
        exit('提交的参数非法！');
    }
    $id = intval($id);
    return $id;
}
 
//字符串 过滤
function str_check( $str ) {
    if(!get_magic_quotes_gpc()) {
        $str = addslashes($str); // 进行过滤
    }
    $str = str_replace("_", "\_", $str);
    $str = str_replace("%", "\%", $str);
     
   return $str;
}
 
//post数据 过滤
function post_check($post) {
    if(!get_magic_quotes_gpc()) {
        $post = addslashes($post);
    }
    $post = str_replace("_", "\_", $post); //SQL中 _ 代表一个通配符 一个字符
    $post = str_replace("%", "\%", $post); //SQL中 % 代表通配符 任意个字符
    $post = nl2br($post);  //在字符串中的新行（\n）之前插入换行符：
    $post = htmlspecialchars($post);  //把预定义的字符 "<" （小于）和 ">" （大于）转换为 HTML 实体：
     
    return $post;
}