function customError$errno， $errstr， $errfile， $errline echo quotError number $errno，error on line $errline in $errfilequot die set_error_handlerquotcustomErrorquot，E_ERROR $getfilter=quot#39andorb+？lt=inlike*+？*lts*script；使用php安全模式 服务器要做好管理，账号权限是否合理假定所有用户的输入都是“恶意”的，防止XSS攻击，譬如对用户的输入输出做好必要的过滤 防止CSRF，表单设置隐藏域，post一个随机字符串到后台，可以有效防止跨站请求伪造文件上传，检查是否做好效验，要注意上传文件存储目录权限防御SQL注入避免。

如 果你的脚本正在执行一个SELECT指令，那么，攻击者可以强迫显示一个表格中的每一行记录通过把一个例如 =1这样的条件注入到WHERE子句中，如下所示其中，注入部分以粗体显示SELECT*FROMsitesWHEREsite=#39html580com#39OR1=1#39正如我们在前面所讨论的，这本身可能是很有用的信息，因为它揭示了该；where方法使用字符串条件的时候，支持预处理安全过滤，并支持两种方式传入预处理参数，例如Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，array$id，$username，$xxselect 或者 Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，$id，$username，$xxselect。

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK11例行维护 a定期备份数据最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件b定期更改数据库的名字及管理员帐密c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有。

php mysql防注入

1、1查询条件尽量使用数组方式，这是更为安全的方式2如果不得已必须使用字符串查询条件，使用预处理机制3使用绑定参数4强制进行字段类型验证，可以对数值数据类型做强制转换5使用自动验证和自动完成机制进行针对应用的自定义过滤6使用字段类型检查自动验证和自动完成机制等。

2、post = nl2br$post 回车转换 post = htmlspecialchars$post html标记转换 return $post 2函数的使用实例 lt？php if inject_check$_GET#39id#39 exit#39你提交的数据非法，请检查后重新提交#39 else id = $_GET#39id#39处理数据 。

3、防止SQL注入 opensns 对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如User = MquotUserquot 实例化User对象 Userfind$_GETquotidquot即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入这是。

4、注 mysql_real_escape_string 并不转义 % 和 _例子 1 mysql_real_escape_string 例子 lt？php item = quotZak#39s and Derick#39s Laptopquotescaped_item = mysql_real_escape_string$itemprintf quotEscaped string %s\nquot， $escaped_item？ 以上例子将产生如下输出Escaped string。

5、字符串型数据比如姓名联系方式用addslashes函数来过滤，数字类型数据用intval来过滤 比如你要提交的表单姓名为name，联系方式为tel，邮箱为mail，留言为msg举例代码如下lt？php$name = isset$_REQUEST#39name#39 ？ addslashes$_REQUEST#39name#39 #39匿名#39$tel = isset$_REQUEST#39tel#39。

6、PHP通用防注入安全代码 说明判断传递的变量中是否含有非法字符 如$_POST$_GET 功能防注入 要过滤的非法字符 ArrFiltrate=array”‘”，，”union”出错后要跳转的url，不填则默认前一页 StrGoUrl=”quot是否存在数组中的值 function FunStringExist$StrFiltrate，$ArrFiltrate。

7、一，HTML防注入一般的html注入都是在字符串中加入了html标签，用下JAVA代码可以去掉这部分代码代码如下，自己封装成方法即可String msge = quotasdasdasdasd asdfsdfquotmsgemsge = msgereplacequotquot， quotquotmsge = msgereplacequotltquot， quotltquotmsge = msgereplace。

8、除此之外，我们还可以在PHP代码中判断输入值的长度，或者专门用一个函数来检查输入的值所以在接受用户输入值的地方一定要做好输入内容的过滤和检查当然学习和了解最新的SQL注入方式也非常重要，这样才能做到有目的的防范如果使用的是平台式的网站系统如Wordpress，要注意及时打上官方的补丁或升级到新。

thinkphp 防注入

php中addslashes函数与sql防注入具体分析如下addslashes可会自动给单引号，双引号增加\，这样我们就可以安全的把数据存入数据库中而不黑客利用，参数#39az#39界定所有大小写字母均被转义，代码如下复制代码 代码如下echo addcslashes#39foo #39，#39az#39 输出foo str=quotis your name。

我在PHP4环境下写了一个防SQL注入的代码，经过实际使用在PHP5下也兼容，欢迎大家使用修改，使用代码如下lt？php sqlin 防注入类 class sqlin dowith_sql$valuefunction dowith_sql$str str = str_replacequotandquot，quotquot，$strstr = str_replacequotexecutequot，quotquot，$strstr。