安全问题讨论

1、
在底层对输入进行过滤,用一个通用的函数。或者对一些数字型变量进行intval转换。
sql方面,所有语句都进行转移再输入数据库。
自动过滤要服务器开启自动转义即可。2、结构和权限合理即可。程序方面见1。3、没什么漏洞吧。

解决方案 »

  1.   

    楼上的可以对第一条问题的“sql方面,所有语句都进行转移再输入数据库”做一下解释吗?另外自动过滤要服务器开启自动转义即可如何启动?
      

  2.   

    下列代码可防止MYSQL注入
    if (!get_magic_quotes_gpc())
    {
        $content=addslashes($content);
    }
      

  3.   

    PHP程序中对接收过来的参数(ID等其它字符串)进行处理,然后再将程序用zend encoder加密 .连接数据库的用户名只授权select insert update delete 权限
      

  4.   

    谢谢,PHP程序中对接收过来的参数与楼上几位说的get_magic_quotes_gpc都是PHP默认自动处理的。