执行sql时，如果sql中含有单引号 “ ‘ ”，将会报错，因为在sql中单引号有表示结束符，所以执行有单引号的sql时需要对sql中的参数进行转义，也可以防止sql的注入。

<?php
    $id = "id";
    $name = "li's";

    // 转义
    $name = mysqli->real_escape_string($name);
    // echo : $name = "li\'s"

    $sql = "insert into table (id, name) values ($id, $name)";    

?>