这个问题纠结了我很久很久。直到现在看到TP3.1.3出来，还没解决。
安全过滤，有 'VAR_FILTERS'=>'htmlspecialchars' 之类配置。
或者在 I('post.fuck','htmlspecialchars')
的确可以过滤 <> 这些特殊符号。

问题是= =。单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。有过滤吗？
我在配置上写 'VAR_FILTERS'=>'htmlspecialchars,addslashes'
I('post.fuck','htmlspecialchars,addslashes')
提交 'or'='or'.返回的结果还是 'or'='or'
......................都不知道到底有没有转义过