1、对POST或GET数据要做处理,我常用的处理程序如下
//get post处理
function dataFilt(&$data){
if(is_array($data)){
foreach ($data as &$v){
dataFilt($v);
}
}else{
if($data){
//防止sql拼组攻击|mysql数据入库处理
if(!get_magic_quotes_gpc()){
$data = addslashes($data);
}
}
}
}
//数据过滤
if($_POST){
dataFilt($_POST);
}
if($_GET){
dataFilt($_GET);
}
2、页面输出get 或 post数据是要做处理
//页面输出防止xss远程脚本攻击
function xssFilt($data){
if(!$data){
return $data;
}
return htmlspecialchars($data);
}
3、数据库不要开远程访问权限
4、站点不要开写入、执行权限
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024