1、使用 mysql_real_escape_string() 、addslashes防止 SQL 注入问题。
2、使用正则表达式和 strlen() 来确保 GET 数据未被篡改。
is_numeric()这个方法似乎是有效的,但是以下这些输入都能够轻松地通过 is_numeric() 的检查:
100 (有效)
100.1 (不应该有小数位)
+0123.45e6 (科学计数法 —— 不好)
0xff33669f (十六进制 —— 危险!危险!)
那么使用正则表达式来检查:
if( !ereg(”^[0-9]+$”,$pid))
3、使用正则表达式和 strlen() 来确保用户提交的数据不会使内存缓冲区溢出。
6、文件注入、HTTP 头欺骗和其他漏洞