1.最基本的就是要关闭网站的错误提示,php配置文件中设置display_errors = Off,一些集成环境的默认错误提示是On
2.一些查询,更新,插入时,最好先判断数据类型和数据格式,比如需要插入邮箱就只能是邮箱格式,不紧在前台要验证,在后台,以及操作数据库时更要验证
3.sql语句最好不要用拼接的方式来组合,最好不要自己写sql语句。
4.过滤特殊字符,常用的php函数有addslashes addcslashes htmlspecialchars等。
5.绑定参数,比如
$mysqli = new mysqli("localhost", "root", "123456", 'shop');
$sql = "SELECT * FROM admin WHERE supername=?";
$res = $mysqli->prepare($sql);
$res->bind_param("tttna", $supername);Db::execute('insert into admin (supername,age) values (?, ?)', ['cheneee','99']);
$result = Db::query('select * from admin where supername = ?', ['cheneeee']);以上只是防注入的一点简单方法