function customError$errno， $errstr， $errfile， $errline echo quotError number $errno，error on line $errline in $errfilequot die set_error_handlerquotcustomErrorquot，E_ERROR $getfilter=quot#39andorb+？lt=inlike*+？*lts*script；使用php安全模式 服務(wù)器要做好管理，賬號權(quán)限是否合理假定所有用戶的輸入都是“惡意”的，防止XSS攻擊，譬如對用戶的輸入輸出做好必要的過濾 防止CSRF，表單設(shè)置隱藏域，post一個隨機(jī)字符串到后臺，可以有效防止跨站請求偽造文件上傳，檢查是否做好效驗，要注意上傳文件存儲目錄權(quán)限防御SQL注入避免。

如 果你的腳本正在執(zhí)行一個SELECT指令，那么，攻擊者可以強(qiáng)迫顯示一個表格中的每一行記錄通過把一個例如 =1這樣的條件注入到WHERE子句中，如下所示其中，注入部分以粗體顯示SELECT*FROMsitesWHEREsite=#39html580com#39OR1=1#39正如我們在前面所討論的，這本身可能是很有用的信息，因為它揭示了該；where方法使用字符串條件的時候，支持預(yù)處理安全過濾，并支持兩種方式傳入預(yù)處理參數(shù)，例如Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，array$id，$username，$xxselect 或者 Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，$id，$username，$xxselect。

如今在網(wǎng)上黑客工具一籮筐，不防找一些來測試下你的網(wǎng)站是否OK11例行維護(hù) a定期備份數(shù)據(jù)最好每日備份一次，下載了備份文件后應(yīng)該及時刪除主機(jī)上的備份文件b定期更改數(shù)據(jù)庫的名字及管理員帳密c借WEB或FTP管理，查看所有目錄體積，最后修改時間以及文件數(shù)，檢查是文件是否有異常，以及查看是否有。

php mysql防注入

1、1查詢條件盡量使用數(shù)組方式，這是更為安全的方式2如果不得已必須使用字符串查詢條件，使用預(yù)處理機(jī)制3使用綁定參數(shù)4強(qiáng)制進(jìn)行字段類型驗證，可以對數(shù)值數(shù)據(jù)類型做強(qiáng)制轉(zhuǎn)換5使用自動驗證和自動完成機(jī)制進(jìn)行針對應(yīng)用的自定義過濾6使用字段類型檢查自動驗證和自動完成機(jī)制等。

2、post = nl2br$post 回車轉(zhuǎn)換 post = htmlspecialchars$post html標(biāo)記轉(zhuǎn)換 return $post 2函數(shù)的使用實例 lt？php if inject_check$_GET#39id#39 exit#39你提交的數(shù)據(jù)非法，請檢查后重新提交#39 else id = $_GET#39id#39處理數(shù)據(jù) 。

3、防止SQL注入 opensns 對于WEB應(yīng)用來說，SQL注入攻擊無疑是首要防范的安全問題，系統(tǒng)底層對于數(shù)據(jù)安全方面本身進(jìn)行了很多的處理和相應(yīng)的防范機(jī)制，例如User = MquotUserquot 實例化User對象 Userfind$_GETquotidquot即便用戶輸入了一些惡意的id參數(shù)，系統(tǒng)也會強(qiáng)制轉(zhuǎn)換成整型，避免惡意注入這是。

4、注 mysql_real_escape_string 并不轉(zhuǎn)義 % 和 _例子 1 mysql_real_escape_string 例子 lt？php item = quotZak#39s and Derick#39s Laptopquotescaped_item = mysql_real_escape_string$itemprintf quotEscaped string %s\nquot， $escaped_item？ 以上例子將產(chǎn)生如下輸出Escaped string。

5、字符串型數(shù)據(jù)比如姓名聯(lián)系方式用addslashes函數(shù)來過濾，數(shù)字類型數(shù)據(jù)用intval來過濾 比如你要提交的表單姓名為name，聯(lián)系方式為tel，郵箱為mail，留言為msg舉例代碼如下lt？php$name = isset$_REQUEST#39name#39 ？ addslashes$_REQUEST#39name#39 #39匿名#39$tel = isset$_REQUEST#39tel#39。

6、PHP通用防注入安全代碼 說明判斷傳遞的變量中是否含有非法字符 如$_POST$_GET 功能防注入 要過濾的非法字符 ArrFiltrate=array”‘”，，”union”出錯后要跳轉(zhuǎn)的url，不填則默認(rèn)前一頁 StrGoUrl=”quot是否存在數(shù)組中的值 function FunStringExist$StrFiltrate，$ArrFiltrate。

7、一，HTML防注入一般的html注入都是在字符串中加入了html標(biāo)簽，用下JAVA代碼可以去掉這部分代碼代碼如下，自己封裝成方法即可String msge = quotasdasdasdasd asdfsdfquotmsgemsge = msgereplacequotquot， quotquotmsge = msgereplacequotltquot， quotltquotmsge = msgereplace。

8、除此之外，我們還可以在PHP代碼中判斷輸入值的長度，或者專門用一個函數(shù)來檢查輸入的值所以在接受用戶輸入值的地方一定要做好輸入內(nèi)容的過濾和檢查當(dāng)然學(xué)習(xí)和了解最新的SQL注入方式也非常重要，這樣才能做到有目的的防范如果使用的是平臺式的網(wǎng)站系統(tǒng)如Wordpress，要注意及時打上官方的補(bǔ)丁或升級到新。

thinkphp 防注入

php中addslashes函數(shù)與sql防注入具體分析如下addslashes可會自動給單引號，雙引號增加\，這樣我們就可以安全的把數(shù)據(jù)存入數(shù)據(jù)庫中而不黑客利用，參數(shù)#39az#39界定所有大小寫字母均被轉(zhuǎn)義，代碼如下復(fù)制代碼 代碼如下echo addcslashes#39foo #39，#39az#39 輸出foo str=quotis your name。

我在PHP4環(huán)境下寫了一個防SQL注入的代碼，經(jīng)過實際使用在PHP5下也兼容，歡迎大家使用修改，使用代碼如下lt？php sqlin 防注入類 class sqlin dowith_sql$valuefunction dowith_sql$str str = str_replacequotandquot，quotquot，$strstr = str_replacequotexecutequot，quotquot，$strstr。