WooYun.org

把转换为int类型如 id = Convert.ToInt32(Request.QueryString["id"]);
mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集 
 
使用方法如下：

<?php
$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";?>

使用 
mysql_real_escape_string()
 作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。
 
（2） 打开magic_quotes_gpc来防止SQL注入
 
php.ini中有一个设置：magic_quotes_gpc = Off
　　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
　　比如把 ' 转为 \'等，对于防止sql注射有重大作用。
 
     如果magic_quotes_gpc=Off，则使用addslashes()函数
技术不成熟，希望有用