if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){
$value .= ' ';
}
上面的是过滤,真的不明白具体意义何在;
一句htmlspecalchars, 外加 db类的' '号括上; 还存在SQL注入问题吗?
I方法足以解决;

求问,到底怎么可能突破htmlspecalchars? 都过滤引号了,为什么还要过滤SQL关键词,DB类不是用''号限制住了吗