轻则爆库盗走你所有数据库信息，重则物理删除数据库，可见 sql注入 是多么严重的事情。

一.漏洞的产生

如果一个get或post参数会带入数据库时：

这时个一个sql注入的漏洞就产生了。

二.一些预防措施

1.打开magic_quotes_gpc来防止SQL注入php.ini中有一个设置：magic_quotes_gpc = Off这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ‘ 转为 \’等。

2.自定义函数

检查用户输入的每一个参数

3.服务器屏蔽所有报错，并不要展示给用户。

php.ini display_errors 设为off

4.严格验证变量类型

//

5.URL静态化

URL伪静态化也就是URL重写技术，像Discuz！一样，将所有的URL都rewrite成类似xxx-xxx-x.html格式，既有利于SEO，又达到了一定的安全性

6.用 PDO 操作数据库