-
2:字符串参数是被迫使用一种方法而不是一个简单的像mysql_real_escape_string addslashes过滤。
3:最好是放弃拼接SQL查询,如mysql_query,使用PDO制备结合尽可能。
4:利用重写技术隐藏真实的脚本和参数信息,通过重写正则化过滤可疑参数。
5:关闭错误提示,不给攻击者的敏感信息:display_errors =关闭。
6:在日志中记录的错误信息:log_errors =和error_log =文件名,定期检查,最好也检查日志。
7:不要使用一个帐户的文件权限(如根)连接到MySQL,屏蔽load_file和其他危险的功能。