这个问题在这里已经有答案了：

如何防止php中的sql注入(28个答案）
两年前关门了。
我有一个php函数，可以检查我所有的php文件，所以没有攻击可以上传任何脚本的东西。。虽然，我的客户机的站点太旧了，几天前，我从服务器上收到一条消息说：mysql注入，正在尝试使用查询。
该系统有一个php版本：5.2.17，有一些mysql\U查询正在被弃用。。。虽然系统的更新太难了。。
我试图找到一个解决方案，并检查这些：
mysql\u real\u escape\u string（）
是数字（）
htmlspecialchars（值，ent\U引号）
我不知道这些算不算！为了避免sql注入，上述任何一种方法都有效吗？
此外，我发现这是一个很好的解决方案：
用途：过滤php的输入（…）
攻击是以$获取值进行的，但没有触及数据库。。然而。。我看到的查询类似于标识符。。
任何建议或帮助将不胜感激！