不要随意开启生产环境中Webserver的错误显示。永远不要信任来自用户端的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。使用预编译绑定变量的SQL语句。做好数据库账号权限管理。严格加密处理用户的机密信息。 原文链接