原理：通过拼sql语句，在输入框里输入' ; SHOW TABLES;注入这样的代码，

防范：你把全部的特殊符号都过滤掉（如单引号，双引号），自然就不会被注入

使用mysql_real_escape_string()函数

在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉，如引号等。如下例：

$t_username = str_replace(" ", "", $_POST['t_username']);
$t_username = mysql_real_escape_string($t_username);
$sql = "select t_passward from users where t_username='$t_username'";