function filterGBK_SpecialChars$str$str =urlencode$str将关键字编码下面的必须写在一行，不可换行截断$str=preg_replacequot%7E%60%21%40%23%24%25%5E%26%27%2A%28%29%2B%。

你好sql注入是多方面的 单是使用htmlspecialchars虽然可以一定程度上防止sql注入，但是还是有些问题是不能处理的 还需要在您的代码上面下功夫。

php中htmlspecialchars函数能把lt转义成可以在html页面直接显示的形式lt ，比如 str=#39lta href=quotahtmlquotaaalta#39echo htmlspecialchars$str就是直接显示代码了更详细的用法去查阅htmlspecialchars说明。

为了避免这种情况，开发者通常会使用PHP转义来转义这些非法字符，以确保数据受到正确处理并且在应用程序中不会造成任何问题使用PHP转义很简单PHP提供了一些转义函数，例如addslashes，htmlspecialchars，stripslashes。