防注入

当magic_quotes_gpc=on时，提交变量中的所有单引号、双引号、反斜线和空字符会自动转换为含有反斜线的转义字符，字符型的注入可以防范，但数字型没有用到单引号，字符型注入也可以通过char()将参数解释为整数，并返回由这些整数的ASCII码字符组成的一个字符串，也可以用16进制来代替字符。

如果是字符型就用addslashes()过滤一下，然后再过滤"%"和"_"如：

$search=addslashes($search);

$search=str_replace("_","\_",$search);

$search=str_replace("%","\%",$search);

当然也可以加php通用防注入代码：

/*************************

PHP通用防注入安全代码

说明：

判断传递的变量中是否含有非法字符

如$_POST、$_GET

功能：

防注入

**************************/

//要过滤的非法字符

$ArrFiltrate=array("'",";","union");

//出错后要跳转的url,不填则默认前一页