安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。

你可以做一些基本的事情，比如：

$safe_variable = mysqli_real_escape_string($dbConnection, $_POST["user-input"]);
mysqli_query($dbConnection, "INSERT INTO table (column) VALUES ('" . $safe_variable . "')");

这并不能解决所有问题，但它是一个很好的垫脚石。我省略了一些明显的项目，例如检查变量的存在性、格式（数字、字母等）。

有许多方法可以防止SQL注入和其他SQL攻击。你可以很容易地在互联网上找到它（谷歌搜索）。当然，PDO是一个很好的解决方案。但我想建议您一些防止SQL注入的良好链接。

什么是SQL注入以及如何防止

SQL注入PHP手册

Microsoft对PHP中SQL注入和预防的解释

还有一些类似于防止MySQL和PHP的SQL注入。

现在，为什么需要防止SQL注入查询？

我想告诉您：为什么我们要通过下面的一个简短示例来防止SQL注入：

查询登录身份验证匹配：

$query="select * from users where email='".$_POST['email']."' and password='".$_POST['password']."' ";

现在，如果有人（黑客）

$_POST['email']= admin@emali.com' OR '1=1

和密码。。。。

查询将被解析到系统中，直到：

$query="select * from users where email='admin@emali.com' OR '1=1';

另一部分将被丢弃。那么，会发生什么？未经授权的用户（黑客）可以以管理员身份登录，而无需密码。现在，他/她可以做管理员/电子邮件管理员可以做的任何事情。看，如果不阻止SQL注入，这是非常危险的。

我认为，在PHP应用程序（或任何web应用程序）中防止SQL注入的最佳方法是考虑应用程序的架构。如果防止SQL注入的唯一方法是记住使用一个特殊的方法或函数，它在每次与数据库对话时都会做正确的事情，那么这是错误的。这样，在代码的某个时刻忘记正确格式化查询只是时间问题。

采用MVC模式和CakePHP或CodeIgniter这样的框架可能是正确的方法：创建安全数据库查询等常见任务已在这些框架中得到解决并集中实现。它们可以帮助您以合理的方式组织web应用程序，并让您更多地考虑加载和保存对象，而不是安全地构造单个SQL查询。

无论你最终使用的是什么，确保你的输入没有被magic_quotes或其他善意的垃圾破坏，如果有必要的话，通过条带斜杠或其他方式来清理它。

警告：本答案中描述的方法仅适用于非常特定的场景，并不安全，因为SQL注入攻击不仅仅依赖于能够注入X=Y。

如果攻击者试图通过PHP的$_GET变量或URL的查询字符串侵入表单，如果他们不安全，您将能够抓住他们。

RewriteCond %{QUERY_STRING} ([0-9]+)=([0-9]+)
RewriteRule ^(.*) ^/track.php

因为1=1、2=2、1=2、2=1、1+1=2等……是攻击者SQL数据库的常见问题。也许它也被许多黑客应用程序使用。

但您必须小心，不能从站点重写安全查询。上面的代码为您提供了一个提示，可以重写或重定向（这取决于您）将特定的动态查询字符串黑客入侵到一个页面中，该页面将存储攻击者的IP地址，甚至是他们的COOKIES、历史记录、浏览器或任何其他敏感信息，因此您可以稍后通过禁用他们的帐户或联系当局来处理他们。

这个问题的简单替代方案可以通过在数据库本身中授予适当的权限来解决。例如：如果您使用的是MySQL数据库，则通过终端或提供的UI输入数据库，然后执行以下命令：

 GRANT SELECT, INSERT, DELETE ON database TO username@'localhost' IDENTIFIED BY 'password';

这将限制用户只能受限于指定的查询。删除删除权限，这样数据就永远不会从PHP页面发出的查询中删除。第二件事是刷新特权，以便MySQL刷新权限和更新。

FLUSH PRIVILEGES; 

有关刷新的详细信息。

要查看用户的当前权限，请启动以下查询。

select * from mysql.user where User='username';

了解更多有关GRANT的信息。