下面是演示其中一法。

直接将变量$id 进行stripslashes 和 mysql_real_escape_string 处理。

注意： 这里并不是说这样就安全了， 这只是其中一种方式我可没说这就安全了。 更多的还要依据实际情况进行处理。

$id = $_GET['id']; 
$id = stripslashes($id); 
$id = mysql_real_escape_string($id); 
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = mysql_query($getid) or die('<pre>'.mysql_error().'</pre>');
$num = mysql_numrows($result);