* POST/GET页面参数传值/字符串输入/数据入库等类似操作都要做好严格的危险字符过滤处理
* 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理
* 敏感信息(如PASSWORD/银行帐号等)不要依赖cookie、session,最好读表,并尽量缓存读表数据
* 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露
* 要完全屏掉所有出错提示,或者能捕获所有出错并重新定制输出,以防报错信息泄露你的网站及相关文件路 径,MySQL字段/网站环境等
* 所有对库表的写入与读取操作都需要做好访问来路限制/同IP同内容读写间隔限制/并验证POST与GET的指定 标识KEY的有效性等这些安全动作
* 有类似文件下载/或文本流下载等功能的,尽量不要在URL里面直接调用目标文件地址的方式来做,最好是传ID 或是指定的NAME标识
* MySQL 的用户最好分开,不要用root用户来连接MySQL,另建专用用户,并限制死此用户的权限,只能操作指 定的库,最好去掉此用户的命令行导入导出的权限等这些危险的权限