PHP MySQL 安全方案

 1 转义与清除转义

// 对 用户提交的数据 ' " \ 进行转义
if ( get_magic_quotes_gpc() )
{
    function del_magic_quotes($value)
    {
        $value = is_array($value) ? array_map('del_magic_quotes', $value) : stripslashes($value);
 
        return $value;
    }  
 
    $_POST    = del_magic_quotes( $_POST );
    $_GET     = del_magic_quotes( $_GET );
    $_COOKIE  = del_magic_quotes( $_COOKIE );
    $_REQUEST = del_magic_quotes( $_REQUEST );
}
 
function add_magic_quotes( $array ) {
    foreach ( (array) $array as $k => $v ) {
        if ( is_array( $v ) ) {
            $array[$k] = add_magic_quotes( $v );
        } else {
            $array[$k] = addslashes( $v );
        }
    }
    return $array;
}
 
$_GET     = add_magic_quotes( $_GET );
$_POST    = add_magic_quotes( $_POST );
$_COOKIE  = add_magic_quotes( $_COOKIE );
$_REQUEST = add_magic_quotes( $_REQUEST );

 

2 对于用户名这样的字段，输入时候，检查不允许有空格，而且必须是字母数字下划线或划线这四种，用正则检查

3 所有ID为数字的变量，必须检查是否为数字，并将变量强制转换成数字

4  有长度限制的一定要加入长度限制

5 apache,php,mysql不要以系统用户运行

6 系统的所有错误信息必须关闭或者屏蔽，用日志记录报错

7 屏蔽非主流浏览器的user-agent

8 普通单个变量检查安全代码

function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}

$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";

mysql_query($sql);

mysql_close($con);