[head first php&mysql]读书笔记-基本的安全信息（第五章）

1.用服务器发送一个头部给客户端，客户端输入用户名和密码才能查看返回的页面。

调用header()设置头信息启用验证信息。

header('HTTP/1.1401 Unauthorized');
header('www-Authenticate:Basic realm="guitar wars"');

在服务端用$_SERVER['PHP_AUTH_USER']和$_SERVER['PHP_AUTH_PW']验证密码

假如是错的，直接调用EXIT(<h1>sorry</h1>)输出一段文本到页面，再退出当前脚本。

2 关于sql注入。

前台提交表单的时候，假如表单域中包含一些危险字符，会影响SQL查询，到时候有可能把表都弄坏了。这就叫sql注入把。

可以前台用js进行一些基本的表单验证，去前后空格啊，是否是邮件，电话号码是否正确。到了后台再进行最后的把关，用trim()去掉前后空字符，mysqli_real_escape_string进行转义。另外最好可以给表中的数据（某一列都一样的话）设置默认值。