其实SQL注入就是把各种可能终止的SQL语句执行的各种方法，通过URL传值写入到你的SQL语句中，然后执行，所以把URL传过来的值进行过滤，即可起到防止SQL注入。

第一种：

     如下：

     然后引用此方法：

第二种：

    进行替换，把各种你认为有可能的单词符号，替换成空 ''，使用str_replace进行替换

                          function item( $str ) {

                                $str = str_replace("_", "", $str);

                                $str = str_replace("%", "", $str);

                                $str = str_replace("select", "", $str)   

                                return $str;

                           }

第三种：

    打开PHP的magic_quotes_gpc来防止SQL注入，在php.ini中设置