php+mysql防止sql注入的方法

我在网上看到的防SQL注入的php代码需要过滤很多字符,可是我觉得只要过滤单双引号就行了。
比如用户注册功能中我要把用户提交的Email提交到数据库,是不是只要判断有没有引号就行了?其它的如select insert等是不是也要过滤呢?
谢谢大家~

解决方案 »

  1.   

    http://topic.csdn.net/u/20090703/10/b16560d1-1aad-4607-91cb-65fa32be3bdc.html
    我的贴,
    给分吧
    嚯嚯~~
    里面的代码可以用于任何页面
    不过你还要自己完善完善
      

  2.   

    MySQL 没有预编译运行SQL方法接口;
    所以,只能人工对SQL 进行转移和过滤。
      

  3.   

    @xiongmzh:你的代码会把[email protected]过滤吧~
    @ljf_ljf:那是不是就不用处理select这类的字符呢?
      

  4.   

    既然是手工注入,肯定会用到select了
      

  5.   

    PDO能防SQL注入吗?有过滤什么吗?
      

  6.   

    pdo  现在又开始流行了啊!!!
      

  7.   

    他的代码会把[email protected]过滤了啊
      

  8.   

    使用 mysql_real_escape_string() 作为用户输入的包装器,可以避免用户输入中的任何恶意 SQL 注入