1、別人可以順利繞過你的登陸檢查或著密碼太弱，別人可以輕易猜出來3，有注入漏洞額，2和3其實(shí)是一個(gè)問題推薦你把網(wǎng)站整個(gè)下載下來，用殺毒軟件掃描一下，再用dw源碼搜索搜 quotzendquot關(guān)鍵字方要用來檢查后門用zend加了密。

2、如果是字符型就用addslashes過濾一下，然后再過濾”%”和”_”如search=addslashes$searchsearch=str_replace“_”，”\_”，$searchsearch=str_replace“%”，”\%”，$search當(dāng)然也可以加php通用防注入代碼 PHP通用防注入安全代碼 說明判斷傳遞的變量中是否含有非法字符 如$_POST。

3、_SESSION#39language#39 = #39fr#39上面代碼將用戶語言存儲在了名為language的Session變量中，因此在該用戶隨后的請求中，可以通過全局?jǐn)?shù)組$_SESSION來獲取languageuser_language = $_SESSION#39language#39依賴注入主要用于面向?qū)ο耖_發(fā)，現(xiàn)在讓我們假設(shè)我們有一個(gè)SessionStorage類，該類封裝了PHP Session機(jī)制。

4、防范SQL注入 使用mysql_real_escape_string函數(shù) 在數(shù)據(jù)庫操作的代碼中用這個(gè)函數(shù)mysql_real_escape_string可以將代碼中特殊字符過濾掉，如引號等如下例q = quotSELECT `id`FROM `users`WHERE `username`= #39quotmysql_real_escape_string_GET#39username#39quot#39AND `password`= #39quotmysql_。

5、一，HTML防注入一般的html注入都是在字符串中加入了html標(biāo)簽，用下JAVA代碼可以去掉這部分代碼代碼如下，自己封裝成方法即可String msge = quotasdasdasdasd asdfsdfquotmsgemsge = msgereplacequotquot， quotquotmsge = msgereplacequotltquot， quotltquotmsge = msgereplace。

6、代碼如下lt？php sqlin 防注入類 class sqlin dowith_sql$valuefunction dowith_sql$str str = str_replacequotandquot，quotquot，$strstr = str_replacequotexecutequot，quotquot，$strstr = str_replacequotupdatequot，quotquot，$strstr = str_replacequotcountquot，quotquot，$strstr = str_。

7、一方面，如果你使用雙引 號來允許PHP在字符串內(nèi)的變量替代，這樣可以使得輸入查詢更為容易些另一方面，這無可否認(rèn)，只是極少量地也會減少以后PHP代碼的分析工作 下面，讓我們使用我們一開始使用的那個(gè)非注入式查詢來說明這個(gè)問題 SELECT * FROM wines WHERE variety = ’lagrein’ 或以PHP語句表達(dá)為 $query。

8、比如你要提交的表單姓名為name，聯(lián)系方式為tel，郵箱為mail，留言為msg舉例代碼如下lt？php$name = isset$_REQUEST#39name#39 ？ addslashes$_REQUEST#39name#39 #39匿名#39$tel = isset$_REQUEST#39tel#39 ？ addslashes$_REQUEST#39tel#39 #39匿名#39$mail = isset$_REQUEST#39mail#39。

9、function customError$errno， $errstr， $errfile， $errline echo quotError number $errno，error on line $errline in $errfilequot die set_error_handlerquotcustomErrorquot，E_ERROR $getfilter=quot#39andorb+？lt=inlike*+？*lts*script。

10、404能夠讓駭客批量查找你的后臺一些重要文件及檢查網(wǎng)頁是否存在注入漏洞ASP錯(cuò)誤嘛，可能會向不明來意者傳送對方想要的信息6慎重選擇網(wǎng)站程序 注意一下網(wǎng)站程序是否本身存在漏洞，好壞你我心里該有把秤7謹(jǐn)慎上傳漏洞 據(jù)悉，上傳漏洞往往是最簡單也是最嚴(yán)重的，能夠讓黑客或駭客們輕松控制你的網(wǎng)站。

11、post = nl2br$post 回車轉(zhuǎn)換 post = htmlspecialchars$post html標(biāo)記轉(zhuǎn)換 return $post 2函數(shù)的使用實(shí)例 lt？php if inject_check$_GET#39id#39 exit#39你提交的數(shù)據(jù)非法，請檢查后重新提交#39 else id = $_GET#39id#39處理數(shù)據(jù) 。

12、function inject_check$Sql_Str 自動過濾Sql的注入語句$check=preg_match#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfilei#39，$Sql_Strif $check echo #39alertquot系統(tǒng)警告\n\n請不要嘗試在參數(shù)中包含非法字符嘗試注入quot#39exit。

13、User = MquotUserquot 實(shí)例化User對象 Userfind$_GETquotidquot即便用戶輸入了一些惡意的id參數(shù)，系統(tǒng)也會強(qiáng)制轉(zhuǎn)換成整型，避免惡意注入這是因?yàn)?，系統(tǒng)會對數(shù)據(jù)進(jìn)行強(qiáng)制的數(shù)據(jù)類型檢測，并且對數(shù)據(jù)來源進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換而且，對于字符串類型的數(shù)據(jù)，ThinkPHP都會進(jìn)行escape_string處理real_。

14、使用PDO防注入這是最簡單直接的一種方式，當(dāng)然低版本的PHP一般不支持PDO方式去操作，那么就只能采用其它方式采用escape函數(shù)過濾非法字符escape可以將非法字符比如 斜杠等非法字符轉(zhuǎn)義，防止sql注入，這種方式簡單粗暴，但是不太建議這么用自己手寫過濾函數(shù)，手寫一個(gè)php sql非法參數(shù)過濾函數(shù)來說還是比較。

15、受影響版本879X以及管理后臺添加新用戶時(shí)的腳本注入受影響版本87影響版本phpwind 9x以及87，871 漏洞等級高危 修復(fù)建議1安裝官方最新補(bǔ)丁，官方補(bǔ)丁 2添加網(wǎng)站至云觀測，及時(shí)了解網(wǎng)站組件突發(fā)0day漏洞。