我们的网站常常会担心被SQL注入攻击，SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，所以一定要小心。你可以打开php.ini，里面有一个设置:

agic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ‘ 转为 \’ 等，相当于php中的addslashes()函数的处理。这对防止sql注射有重大作用，所以很多服务器都设置了：

magic_quotes_gpc = On

这又给我们带来一个新的问题，如果我们用户提交的是富文本编辑器的HTML内容，又或者在极端的条件下url中带有序列化的内容（带有双引号）。当我们使用$_GET和$_POST的时候会拿到一串被加上反斜杠的字符串，那么有可能将原始的内容破环之后写入数据库，或者反序列化的工作无法完成。那么我们可以使用stripslashes(string)函数将字符串的反斜杠给去掉：

/** * 处理服务器开启magic_quotes_gpc * @param string $str * @return string */public function dealMagicQuotesGpc($str){    if (ini_get('magic_quotes_gpc')) {        $str = stripslashes($str);    }    return $str;}

这个方法仅仅是改变一个字符串，还有一个方法是递归处理数组的：

if (ini_get('magic_quotes_gpc')) {     function stripslashesRecursive(array $array)     {          foreach ($array as $k => $v) {               if (is_string($v)) {                    $array[$k] = stripslashes($v);               } else if (is_array($v)) {                    $array[$k] = stripslashesRecursive($v);               }          }          return $array;     }      $_GET = stripslashesRecursive($_GET);     $_POST = stripslashesRecursive($_POST);}

上面这段代码可以放在框架的入口程序里，可以递归处理$_GET和$_POST数组的每个元素，不管这数组有多深。