php对sql injection的防范

对http request过来的数据，凡是含有单引号，双引号，反斜线等都进行加斜线处理。防止进行注入操作。
/*
堵SQL漏洞
*/
function quotes($content){

//如果magic_quotes_gpc=Off，那么就开始处理
if (!get_magic_quotes_gpc()) {
//判断$content是否为数组
if (is_array($content)) {
//如果$content是数组，那么就处理它的每一个单无
foreach ($content as $key=>$value) {
$content[$key] = mysql_real_escape_string($value);
}
} else {
//如果$content不是数组，那么就仅处理一次
$content = mysql_real_escape_string($content);
}

}
//返回$content
return $content;
}
当传递过来的参数是一个id的话。那么我们可以直接用 $id = intval($_GET('id'));进行int型处理（用settype也行）。
网上也有人是对其关键字过滤进行处理的，如：
function inject_check($sql_str){
return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤
}
我觉得此方法不可取是因为我在一个大的输入框里POST过来的数据或多或少都包含这些关键字，难道杀一儆百？虽然这样更安全，但不方便。
所以我采用上一个方法，如果上一个方法有上面不好之处或者疑问，可以留言讨论。：）