SQL injection問題在ASP上可是鬧得沸沸揚揚當然還有不少國內外著名的PHP程式“遇難”。至於SQL injection的詳情，網上的文章太多了，在此就不作介紹。
如果你網站空間的php.ini文件的magic_quotes_gpc設成了off，那麽PHP就不會在敏感字元前加上反斜杠（\），由於表單提交的內容可能含有敏感字元，如單引號（'），就導致了SQL injection的漏洞。在這種情況下，我們可以用addslashes()來解決問題，它會自動在敏感字元前添加反斜杠。
但是，上面的方法只適用於magic_quotes_gpc=Off的情況。作爲一個開發者，你不知道每個用戶的magic_quotes_gpc是On還是Off，如果把全部的資料都用上addslashes()，那不是“濫殺無辜”了？假如magic_quotes_gpc=On，並且又用了addslashes()函數，那讓我們來看看：

<?php //如果從表單提交一個變數$_POST['message']，內容爲 Tom's book //這此加入連接MySQL資料庫的代碼，自己寫吧 //在$_POST['message']的敏感字元前加上反斜杠 $_POST['message'] = addslashes($_POST['message']); //由於magic_quotes_gpc=On，所以又一次在敏感字元前加反斜杠 $sql = "INSERT INTO msg_table VALUE('$_POST[message]');"; //發送請求，把內容保存到資料庫內 $query = mysql_query($sql); //如果你再從資料庫內提取這個記錄並輸出，就會看到 Tom\'s book ?>

這樣的話，在magic_quotes_gpc=On的環境，所有輸入的單引號（'）都會變成（\'）……
其實我們可以用get_magic_quotes_gpc()函數輕易地解決這個問題。當magic_quotes_gpc=On時，該函數返回TRUE；當magic_quotes_gpc=Off時，返回FALSE。至此，肯定已經有不少人意識到：問題已經解決。請看代碼：

<?php //如果magic_quotes_gpc=Off，那就爲提單提交的$_POST['message']的敏感字元加反斜杠 //magic_quotes_gpc=On的情況下，則不加 if (!get_magic_quotes_gpc()) { $_POST['message'] = addslashes($_POST['message']); } else {} ?>

其實說到這，問題已經解決。下面再說一個小技巧。
有時表單提交的變數不止一個，可能有十幾個，幾十個。那麽一次一次地複製/粘帖addslashes()，是否麻煩了一點？由於從表單或URL獲取的資料都是以陣列形式出現的，如$_POST、$_GET)那就自定義一個可以“橫掃千軍”的函數：

<?php function quotes($content) { //如果magic_quotes_gpc=Off，那麽就開始處理 if (!get_magic_quotes_gpc()) { //判斷$content是否爲陣列 if (is_array($content)) { //如果$content是陣列，那麽就處理它的每一個單無 foreach ($content as $key=>$value) { $content[$key] = addslashes($value); } } else { //如果$content不是陣列，那麽就僅處理一次 addslashes($content); } } else { //如果magic_quotes_gpc=On，那麽就不處理 } //返回$content return $content; } ?>

本文轉貼自：
http://www.phpe.net/articles/372.shtml