1、別人可以順利繞過(guò)你的登陸檢查或著密碼太弱，別人可以輕易猜出來(lái)3，有注入漏洞額，2和3其實(shí)是一個(gè)問(wèn)題推薦你把網(wǎng)站整個(gè)下載下來(lái)，用殺毒軟件掃描一下，再用dw源碼搜索搜 quotzendquot關(guān)鍵字方要用來(lái)檢查后門(mén)用zend加了密。

2、如果是字符型就用addslashes過(guò)濾一下，然后再過(guò)濾”%”和”_”如search=addslashes$searchsearch=str_replace“_”，”\_”，$searchsearch=str_replace“%”，”\%”，$search當(dāng)然也可以加php通用防注入代碼 PHP通用防注入安全代碼 說(shuō)明判斷傳遞的變量中是否含有非法字符 如$_POST。

3、_SESSION#39language#39 = #39fr#39上面代碼將用戶(hù)語(yǔ)言存儲(chǔ)在了名為language的Session變量中，因此在該用戶(hù)隨后的請(qǐng)求中，可以通過(guò)全局?jǐn)?shù)組$_SESSION來(lái)獲取languageuser_language = $_SESSION#39language#39依賴(lài)注入主要用于面向?qū)ο耖_(kāi)發(fā)，現(xiàn)在讓我們假設(shè)我們有一個(gè)SessionStorage類(lèi)，該類(lèi)封裝了PHP Session機(jī)制。

4、防范SQL注入 使用mysql_real_escape_string函數(shù) 在數(shù)據(jù)庫(kù)操作的代碼中用這個(gè)函數(shù)mysql_real_escape_string可以將代碼中特殊字符過(guò)濾掉，如引號(hào)等如下例q = quotSELECT `id`FROM `users`WHERE `username`= #39quotmysql_real_escape_string_GET#39username#39quot#39AND `password`= #39quotmysql_。

5、一，HTML防注入一般的html注入都是在字符串中加入了html標(biāo)簽，用下JAVA代碼可以去掉這部分代碼代碼如下，自己封裝成方法即可String msge = quotasdasdasdasd asdfsdfquotmsgemsge = msgereplacequotquot， quotquotmsge = msgereplacequotltquot， quotltquotmsge = msgereplace。

6、代碼如下lt？php sqlin 防注入類(lèi) class sqlin dowith_sql$valuefunction dowith_sql$str str = str_replacequotandquot，quotquot，$strstr = str_replacequotexecutequot，quotquot，$strstr = str_replacequotupdatequot，quotquot，$strstr = str_replacequotcountquot，quotquot，$strstr = str_。

7、一方面，如果你使用雙引 號(hào)來(lái)允許PHP在字符串內(nèi)的變量替代，這樣可以使得輸入查詢(xún)更為容易些另一方面，這無(wú)可否認(rèn)，只是極少量地也會(huì)減少以后PHP代碼的分析工作 下面，讓我們使用我們一開(kāi)始使用的那個(gè)非注入式查詢(xún)來(lái)說(shuō)明這個(gè)問(wèn)題 SELECT * FROM wines WHERE variety = ’lagrein’ 或以PHP語(yǔ)句表達(dá)為 $query。

8、比如你要提交的表單姓名為name，聯(lián)系方式為tel，郵箱為mail，留言為msg舉例代碼如下lt？php$name = isset$_REQUEST#39name#39 ？ addslashes$_REQUEST#39name#39 #39匿名#39$tel = isset$_REQUEST#39tel#39 ？ addslashes$_REQUEST#39tel#39 #39匿名#39$mail = isset$_REQUEST#39mail#39。

9、function customError$errno， $errstr， $errfile， $errline echo quotError number $errno，error on line $errline in $errfilequot die set_error_handlerquotcustomErrorquot，E_ERROR $getfilter=quot#39andorb+？lt=inlike*+？*lts*script。

10、404能夠讓駭客批量查找你的后臺(tái)一些重要文件及檢查網(wǎng)頁(yè)是否存在注入漏洞ASP錯(cuò)誤嘛，可能會(huì)向不明來(lái)意者傳送對(duì)方想要的信息6慎重選擇網(wǎng)站程序 注意一下網(wǎng)站程序是否本身存在漏洞，好壞你我心里該有把秤7謹(jǐn)慎上傳漏洞 據(jù)悉，上傳漏洞往往是最簡(jiǎn)單也是最嚴(yán)重的，能夠讓黑客或駭客們輕松控制你的網(wǎng)站。

11、post = nl2br$post 回車(chē)轉(zhuǎn)換 post = htmlspecialchars$post html標(biāo)記轉(zhuǎn)換 return $post 2函數(shù)的使用實(shí)例 lt？php if inject_check$_GET#39id#39 exit#39你提交的數(shù)據(jù)非法，請(qǐng)檢查后重新提交#39 else id = $_GET#39id#39處理數(shù)據(jù) 。

12、function inject_check$Sql_Str 自動(dòng)過(guò)濾Sql的注入語(yǔ)句$check=preg_match#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfilei#39，$Sql_Strif $check echo #39alertquot系統(tǒng)警告\n\n請(qǐng)不要嘗試在參數(shù)中包含非法字符嘗試注入quot#39exit。

13、User = MquotUserquot 實(shí)例化User對(duì)象 Userfind$_GETquotidquot即便用戶(hù)輸入了一些惡意的id參數(shù)，系統(tǒng)也會(huì)強(qiáng)制轉(zhuǎn)換成整型，避免惡意注入這是因?yàn)?，系統(tǒng)會(huì)對(duì)數(shù)據(jù)進(jìn)行強(qiáng)制的數(shù)據(jù)類(lèi)型檢測(cè)，并且對(duì)數(shù)據(jù)來(lái)源進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換而且，對(duì)于字符串類(lèi)型的數(shù)據(jù)，ThinkPHP都會(huì)進(jìn)行escape_string處理real_。

14、使用PDO防注入這是最簡(jiǎn)單直接的一種方式，當(dāng)然低版本的PHP一般不支持PDO方式去操作，那么就只能采用其它方式采用escape函數(shù)過(guò)濾非法字符escape可以將非法字符比如 斜杠等非法字符轉(zhuǎn)義，防止sql注入，這種方式簡(jiǎn)單粗暴，但是不太建議這么用自己手寫(xiě)過(guò)濾函數(shù)，手寫(xiě)一個(gè)php sql非法參數(shù)過(guò)濾函數(shù)來(lái)說(shuō)還是比較。

15、受影響版本879X以及管理后臺(tái)添加新用戶(hù)時(shí)的腳本注入受影響版本87影響版本phpwind 9x以及87，871 漏洞等級(jí)高危 修復(fù)建議1安裝官方最新補(bǔ)丁，官方補(bǔ)丁 2添加網(wǎng)站至云觀測(cè)，及時(shí)了解網(wǎng)站組件突發(fā)0day漏洞。