<?PHP
一个防止sql注入的函数,原理是利用正则匹配出sql注入的语法,增加限制,很好的限制了sql注入,比较的不错,可以研究一下
function inject_check( $sql_str)
{
return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',  $sql_str);     // 进行过滤
}
?>

在你的代码里

$sql = ....

if (!inject_chk($sql))
{
//执行...
}
else
{
echo "警告!有注入";
}