对于SQL注入的攻击也应该尽量避免。那么如何避免呢?我有四点建议:
1,永远不要使用超级用户或是数据库的所有
者的账号连接数据库,使用普通用户的权限就可以了。
2,对提交的数据进行严格的检查,确保提交的数据类型与所希望的一致。可以使用正则表
达式进行检验,也可以使用系统函数,如isnumberic()等等进行检验。
3,对于用户提交的
数据,如果不是数字型的,则应对其进行编码,如使用htmlspecialchars(),htmlentitie
s()来对提交的特殊字符进行编码,使用addslashes()来加上转义符等等。
4,不要输入数
据库的系统信息,这可以使用@屏蔽掉错误信息。
另外,还应该考虑数据库连接的安全性问题。要是有可能,尽量使用SSL/SSH来提高数
据库的安全性,这能击退大部分的sniffer。