1:數字型參數使用類似intval,floatval這樣的方法強制過濾。
2:字符串型參數使用類似mysql_real_escape_string這樣的方法強制過濾,而不是簡單的addslashes。
3:最好拋棄mysql_query這樣的拼接SQL查詢方式,盡可能使用PDO的prepare綁定方式。
4:使用rewrite技術隱藏真實腳本及參數的信息,通過rewrite正則也能過濾可疑的參數。
5:關閉錯誤提示,不給攻擊者提供敏感信息:display_errors=off。
6:以日志的方式記錄錯誤信息:log_errors=on和error_log=filename,定期排查,Web日志最好也查。
7:不要用具有FILE權限的賬號(比如root)連接MySQL,這樣就屏蔽了load_file等危險函數。
