function customError$errno， $errstr， $errfile， $errline echo quotError number $errno，error on line $errline in $errfilequot die set_error_handlerquotcustomErrorquot，E_ERROR $getfilter=quot#39andorb+？lt=inlike*+？*lts*script；使用php安全模式 服務(wù)器要做好管理，賬號(hào)權(quán)限是否合理假定所有用戶的輸入都是“惡意”的，防止XSS攻擊，譬如對(duì)用戶的輸入輸出做好必要的過(guò)濾 防止CSRF，表單設(shè)置隱藏域，post一個(gè)隨機(jī)字符串到后臺(tái)，可以有效防止跨站請(qǐng)求偽造文件上傳，檢查是否做好效驗(yàn)，要注意上傳文件存儲(chǔ)目錄權(quán)限防御SQL注入避免。

如 果你的腳本正在執(zhí)行一個(gè)SELECT指令，那么，攻擊者可以強(qiáng)迫顯示一個(gè)表格中的每一行記錄通過(guò)把一個(gè)例如 =1這樣的條件注入到WHERE子句中，如下所示其中，注入部分以粗體顯示SELECT*FROMsitesWHEREsite=#39html580com#39OR1=1#39正如我們?cè)谇懊嫠懻摰?，這本身可能是很有用的信息，因?yàn)樗沂玖嗽?；where方法使用字符串條件的時(shí)候，支持預(yù)處理安全過(guò)濾，并支持兩種方式傳入預(yù)處理參數(shù)，例如Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，array$id，$username，$xxselect 或者 Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，$id，$username，$xxselect。

如今在網(wǎng)上黑客工具一籮筐，不防找一些來(lái)測(cè)試下你的網(wǎng)站是否OK11例行維護(hù) a定期備份數(shù)據(jù)最好每日備份一次，下載了備份文件后應(yīng)該及時(shí)刪除主機(jī)上的備份文件b定期更改數(shù)據(jù)庫(kù)的名字及管理員帳密c借WEB或FTP管理，查看所有目錄體積，最后修改時(shí)間以及文件數(shù)，檢查是文件是否有異常，以及查看是否有。

php mysql防注入

1、1查詢(xún)條件盡量使用數(shù)組方式，這是更為安全的方式2如果不得已必須使用字符串查詢(xún)條件，使用預(yù)處理機(jī)制3使用綁定參數(shù)4強(qiáng)制進(jìn)行字段類(lèi)型驗(yàn)證，可以對(duì)數(shù)值數(shù)據(jù)類(lèi)型做強(qiáng)制轉(zhuǎn)換5使用自動(dòng)驗(yàn)證和自動(dòng)完成機(jī)制進(jìn)行針對(duì)應(yīng)用的自定義過(guò)濾6使用字段類(lèi)型檢查自動(dòng)驗(yàn)證和自動(dòng)完成機(jī)制等。

2、post = nl2br$post 回車(chē)轉(zhuǎn)換 post = htmlspecialchars$post html標(biāo)記轉(zhuǎn)換 return $post 2函數(shù)的使用實(shí)例 lt？php if inject_check$_GET#39id#39 exit#39你提交的數(shù)據(jù)非法，請(qǐng)檢查后重新提交#39 else id = $_GET#39id#39處理數(shù)據(jù) 。

3、防止SQL注入 opensns 對(duì)于WEB應(yīng)用來(lái)說(shuō)，SQL注入攻擊無(wú)疑是首要防范的安全問(wèn)題，系統(tǒng)底層對(duì)于數(shù)據(jù)安全方面本身進(jìn)行了很多的處理和相應(yīng)的防范機(jī)制，例如User = MquotUserquot 實(shí)例化User對(duì)象 Userfind$_GETquotidquot即便用戶輸入了一些惡意的id參數(shù)，系統(tǒng)也會(huì)強(qiáng)制轉(zhuǎn)換成整型，避免惡意注入這是。

4、注 mysql_real_escape_string 并不轉(zhuǎn)義 % 和 _例子 1 mysql_real_escape_string 例子 lt？php item = quotZak#39s and Derick#39s Laptopquotescaped_item = mysql_real_escape_string$itemprintf quotEscaped string %s\nquot， $escaped_item？ 以上例子將產(chǎn)生如下輸出Escaped string。

5、字符串型數(shù)據(jù)比如姓名聯(lián)系方式用addslashes函數(shù)來(lái)過(guò)濾，數(shù)字類(lèi)型數(shù)據(jù)用intval來(lái)過(guò)濾 比如你要提交的表單姓名為name，聯(lián)系方式為tel，郵箱為mail，留言為msg舉例代碼如下lt？php$name = isset$_REQUEST#39name#39 ？ addslashes$_REQUEST#39name#39 #39匿名#39$tel = isset$_REQUEST#39tel#39。

6、PHP通用防注入安全代碼 說(shuō)明判斷傳遞的變量中是否含有非法字符 如$_POST$_GET 功能防注入 要過(guò)濾的非法字符 ArrFiltrate=array”‘”，，”union”出錯(cuò)后要跳轉(zhuǎn)的url，不填則默認(rèn)前一頁(yè) StrGoUrl=”quot是否存在數(shù)組中的值 function FunStringExist$StrFiltrate，$ArrFiltrate。

7、一，HTML防注入一般的html注入都是在字符串中加入了html標(biāo)簽，用下JAVA代碼可以去掉這部分代碼代碼如下，自己封裝成方法即可String msge = quotasdasdasdasd asdfsdfquotmsgemsge = msgereplacequotquot， quotquotmsge = msgereplacequotltquot， quotltquotmsge = msgereplace。

8、除此之外，我們還可以在PHP代碼中判斷輸入值的長(zhǎng)度，或者專(zhuān)門(mén)用一個(gè)函數(shù)來(lái)檢查輸入的值所以在接受用戶輸入值的地方一定要做好輸入內(nèi)容的過(guò)濾和檢查當(dāng)然學(xué)習(xí)和了解最新的SQL注入方式也非常重要，這樣才能做到有目的的防范如果使用的是平臺(tái)式的網(wǎng)站系統(tǒng)如Wordpress，要注意及時(shí)打上官方的補(bǔ)丁或升級(jí)到新。

thinkphp 防注入

php中addslashes函數(shù)與sql防注入具體分析如下addslashes可會(huì)自動(dòng)給單引號(hào)，雙引號(hào)增加\，這樣我們就可以安全的把數(shù)據(jù)存入數(shù)據(jù)庫(kù)中而不黑客利用，參數(shù)#39az#39界定所有大小寫(xiě)字母均被轉(zhuǎn)義，代碼如下復(fù)制代碼 代碼如下echo addcslashes#39foo #39，#39az#39 輸出foo str=quotis your name。

我在PHP4環(huán)境下寫(xiě)了一個(gè)防SQL注入的代碼，經(jīng)過(guò)實(shí)際使用在PHP5下也兼容，歡迎大家使用修改，使用代碼如下lt？php sqlin 防注入類(lèi) class sqlin dowith_sql$valuefunction dowith_sql$str str = str_replacequotandquot，quotquot，$strstr = str_replacequotexecutequot，quotquot，$strstr。