为避免严重的安全问题，必须执行两项非常重要的操作。

1. 您需要先对用户输入进行转义，然后再将其放入SQL查询中。转义表示转义所有特殊字符，如'; 幸运的是，有一个函数已经自动执行该操作：mysql_real_escape_string。

如果您不逃避用户的输入，可能会发生令人讨厌的事情。假设您的查询是INSERT INTO userdata VALUES ('$user_data')。现在想象一下用户写的'; DROP DATABASE userdata;。

如果您不进行转义，您的查询将变为：INSERT INTO userdata VALUES (''; DROP DATABASEuserdata;')。您可以想象这不是很好：如果启用了多条语句，您可以向数据库道别。这称为 SQL注入 攻击。

1. 将变量输出给用户时，还需要用HTML实体正确替换HTML特殊字符。幸运的是，也有一个函数可以做到这一点：htmlspecialchars（）。它将转换特殊的HTML字符，例如<到<。

这似乎是一个经常被低估的问题，但实际上这是非常严重的。想象如果$user_data包含<script>SomeNastyScript()</script>。它可能利用用户浏览器中的现有漏洞，或者可能向攻击者发送非HTTPOnly
cookie（可能包含已保存的密码），或者可能诱使用户将密码写在通过操纵DOM（可能在javascript中）或其他很多不好的东西。

这称为 XSS （跨站点脚本）。

精简版

1. mysql_real_escape_string在将字符串插入到SQL查询中之前先调用它（但在您输入字符串时不echo这样做）。

2. htmlspecialchars在将字符串显示给用户之前，先调用它（但当您将其放入数据库时​​不调用）。