1.尽量使用“绑定参数”功能，php中可用pdo进行一系列操作2.php可使用mysql_real_escape_string()函数进行输入过滤；