imxiu

摘要： 网站表单有注入漏洞须对所有用户输入的内容进行个过滤和检查，可以使用正则表达式或者直接输入字符判断，大部分是只允许输入字母和数字的，其它字符度不允许；对于内容复杂表单的内容，应该对html和script的符号进行转义替换：尤其是,',"",&这几个符号这里有个转义对照表：http://blog.csdn.net/xinzhu1990/article/details/7032301单引号替换成两个直接将客户端传过来的的参数值直接组成字符串sql，而不是使用statment填充参数的方式，也没有进行字符串处理和过滤，这些地方都有注入的漏洞，尤其是没有对单引号过滤p 阅读全文

摘要： 对查询进行优化，应尽量避免全表扫描，首先应考虑在where 及order by 涉及的列上建立索引:.尝试下面的技巧以避免优化器错选了表扫描：· 使用ANALYZE TABLE tbl_name为扫描的表更新关键字分布。· 对扫描的表使用FORCE INDEX告知MySQL，相对于使用给定的索引表扫描将非常耗时。SELECT * FROM t1, t2 FORCE INDEX (index_for_column)WHERE t1.col_name=t2.col_name；用--max-seeks-for-key=1000选项启动mysqld或使用SET max_seeks_ 阅读全文