function checkValues($value) { // 使用此函数对所有这些值都要检查防止 sql 注入和跨站点脚本 //除去字符串开头和末尾的空格或其他字符 $value = trim($value); // Stripslashes if (get_magic_quotes_gpc()) { //删除由 addslashes() 函数添加的反斜杠,该函数用于清理从数据库或 HTML 表单中取回的数据。 $value = stripslashes($value); } //转换所有的 字符 $value = strtr($value,array_flip(get_html_translation_table(HTML_ENTITIES)));
// 剥去 HTML的标签 $value = strip_tags($value);
// 引用值 $value = mysql_real_escape_string($value); return $value; } include("dbcon.php");//加载数据库连接文件 $rec = checkValues($_REQUEST['val']); //获取table内容 if($rec) { $sql = "select * from ajax_search where FirstName like '%$rec%' or LastName like '%$rec%' or Age like '%$rec%' or Hometown like '%$rec%'";