1：數字型參數使用類似intval，floatval這樣的方法強制過濾。

2：字符串型參數使用類似mysql_real_escape_string這樣的方法強制過濾，而不是簡單的addslashes。

3：最好拋棄mysql_query這樣的拼接SQL查詢方式，盡可能使用PDO的prepare綁定方式。

4：使用rewrite技術隱藏真實腳本及參數的信息，通過rewrite正則也能過濾可疑的參數。

5：關閉錯誤提示，不給攻擊者提供敏感信息：display_errors=off。

6：以日志的方式記錄錯誤信息：log_errors=on和error_log=filename，定期排查，Web日志最好也查。

7：不要用具有FILE權限的賬號（比如root）連接MySQL，這樣就屏蔽了load_file等危險函數。

您可能感興趣的文章: