一、sql注入
php 处理方式 php.ini 1magic_quotes_gps 设置(开启关闭) 默认开启接收的参数转义
1.限制用户输入,尽量选择输入,而非直接输入,都输入的字符串进行校验(验证方式正则,限制长度,单引号和双“-”转换)。
2.动态拼接sql,使用参数化的sql。
3.最小授权原则(数据库权限)。不可使用管理员权限直接连接数据库。
4.机密性的数据不可直接存储,加密或使用hash处理。
5.对异常错误进行封装处理。不可直接使用原始的报错信息。
6.采用辅助软件或者网站平台进行自测。
二、php 自带过滤和转义的函数。
htmlspecialchars() 将特定的符号转义为HTML格式
htmlentities() 所有字符都转成HTML格式
addslashes() 单双引号、反斜线及NULL加上反斜线转义
stripslashes() 去掉反斜线字符
base64_decode() base64解码
base64_encode() base64编码
rawurldecode() URL解码