在 PHP 中，可以使用内置函数 `mysqli_real_escape_string` 对进入数据库的特殊字符进行转义处理。以下是一个示例： ```php // 连接到数据库 $connection = mysqli_connect("localhost", "username", "password", "database"); // 检查连接是否成功 if (mysqli_connect_errno()) { echo "连接数据库失败: " . mysqli_connect_error(); exit(); } // 获取用户输入 $input = $_POST['input']; // 假设用户输入位于 POST 请求的 'input' 参数中 // 转义处理 $escaped_input = mysqli_real_escape_string($connection, $input); // 执行插入操作 $query = "INSERT INTO table_name (column_name) VALUES ('$escaped_input')"; $result = mysqli_query($connection, $query); // 检查插入是否成功 if ($result) { echo "插入成功"; } else { echo "插入失败: " . mysqli_error($connection); } // 关闭数据库连接 mysqli_close($connection); ``` 在上述示例中，我们首先通过 `mysqli_connect` 函数连接到数据库，然后使用 `mysqli_real_escape_string` 函数对用户输入进行转义处理，并将转义后的值用于构造 SQL 查询语句。最后，使用 `mysqli_query` 函数执行插入操作，并根据执行结果输出相应的信息。 需要注意的是，在实际应用中，建议使用预编译语句（Prepared Statement）或参数化查询（Parameterized Query）来防止 SQL 注入攻击，这样可以更安全地处理用户输入，并避免手动拼接 SQL 查询语句。