"SELECT a from b....";
if ( mysql_query($t_strSQL) )
{
// 正确的处理
}
else
{
if (DEBUG_MODE)
echo "错误! SQL 语句：$t_strSQL \r\n错误信息".mysql_query();
exit;
}

对提交的 sql 语句，进行转义和类型检查。
　四. 我写的一个安全参数获取函数
　　为了防止用户的错误数据和 php + mysql 注入 ，我写了一个函数 PAPI_GetSafeParam()，用来获取安全的参数值：
复制代码 代码如下:
define("XH_PARAM_INT",0);
define("XH_PARAM_TXT",1);
function PAPI_GetSafeParam($pi_strName, $pi_Def = "", $pi_iType = XH_PARAM_TXT)
{
if ( isset( GET[$pi_strName]) )
$t_Val = trim( GET[$pi_strName]);
else if ( isset( POST[$pi_strName]))
$t_Val = trim( POST[$pi_strName]);
else
return $pi_Def;
// INT
if ( XH_PARAM_INT == $pi_iType)
{
if (is_numeric($t_Val))
return $t_Val;
else
return $pi_Def;
}
// String
$t_Val = str_replace("&", "&",$t_Val);
$t_Val = str_replace("<", "<",$t_Val);
$t_Val = str_replace(">", ">",$t_Val);
if ( get_magic_quotes_gpc() )
{
$t_Val = str_replace("\\\"", """,$t_Val);
$t_Val = str_replace("\\''''", "'",$t_Val);
}
else
{
$t_Val = str_replace("\"", """,$t_Val);
$t_Val = str_replace("''", "'",$t_Val);
}
return $t_Val;
}

在这个函数中，有三个参数：
复制代码 代码如下:
$pi_strName: 变量名
$pi_Def: 默认值
$pi_iType: 数据类型。取值为 XH_PARAM_INT, XH_PARAM_TXT, 分别表示数值型和文本型。

如果请求是数值型，那么调用 is_numeric() 判断是否为数值。如果不是，则返回程序指定的默认值。
　　简单起见，对于文本串，我将用户输入的所有危险字符（包括HTML代码），全部转义。由于 php 函数 addslashes()存在漏洞，我用 str_replace()直接替换。get_magic_quotes_gpc() 函数是 php 的函数，用来判断 magic_quotes_gpc 选项是否打开。
　　刚才第二节的示例，代码可以这样调用：
复制代码 代码如下:
<?
if ( isset( POST["f_login"] ) )
{
// 连接数据库...
// ...代码略...
// 检查用户是否存在
$t_strUid = PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT);
$t_strPwd = PAPI_GetSafeParam("f_pwd", "", XH_PARAM_TXT);
$t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = ''$t_strPwd'' LIMIT 0,1";
if ( $t_hRes = mysql_query($t_strSQL) )
{
// 成功查询之后的处理. 略...
}
}
?>

这样的话，就已经相当安全了。PAPI_GetSafeParam的代码有点长，但牺牲这点效率，对保证安全，是值得的。希望大家多批评指正。：）