本板首PO 触板规烦请告知
请问是否用 ctype_alnum() 来确定参数是否被填入一些特殊符号
就可以对 Injection 高枕无忧了呢?
因为不太确定是否能把话说死 所以才来请益各位大大的看法
谢谢

Google mysql_real_escape_string()Or use PDO with bindParam()and bindValue()

虽然现在 mysql 废了，不过第一行那并不会没办法防上面指的是 mysql_xxxx 0.0它废掉不是它本身有漏洞，是它需要手工，而非常多人不知道该如何用，用在那，用错或没用

前后加个引号其实算防得到，当然好孩子得记得传第二个参数mysql_ 很容易做错，但很～小心的话是能做对的