PHP編程如何去做防注入？PHP作為主流的腳本語言，在各大互聯(lián)網(wǎng)公司都能看到。很多人評價PHP是一種安全高效的Web編程語言。其實我想說的是PHP的安全性不高！如果你不 在項目開發(fā)過程中不做必要的安全

PHP編程如何去做防注入？

PHP作為主流的腳本語言，在各大互聯(lián)網(wǎng)公司都能看到。很多人評價PHP是一種安全高效的Web編程語言。其實我想說的是PHP的安全性不高！如果你不 在項目開發(fā)過程中不做必要的安全優(yōu)化，項目上線后很容易被注入攻擊。那么如何避免呢？

用戶提交的數(shù)據(jù)必須經(jīng)過過濾和轉(zhuǎn)義。對于Web開發(fā)，我們必須清楚的知道，用戶提交的數(shù)據(jù)不能保證是合法的，所以我們需要對用戶提交的數(shù)據(jù)進行過濾(過濾掉敏感詞，比如select，這種SQL構(gòu)造詞匯)，同時用戶提交的數(shù)據(jù)可能攜帶一些惡意的JS或者CSS代碼，也需要進行轉(zhuǎn)義，防止這些JS或者CSS在前端渲染頁面時被執(zhí)行。

嚴禁在代碼中通過SQL拼接的構(gòu)造SQL語句。許多初級程序員在編寫SQL時喜歡用字符串拼接的來構(gòu)造SQL，但我不喜歡。;我不知道這會通向SQL注入。嚴謹?shù)淖龇☉撌鞘褂肧QL預編譯(參數(shù)綁定)傳遞參數(shù)，通過構(gòu)造字符串的來防止SQL注入。

PHP配置文件安全配置PHP配置文件中有很多安全配置，比如magic_"es_gpc。開啟此配置后，將對用戶提交的數(shù)據(jù)(POST、GET、Cookie)進行分析，如果這些數(shù)據(jù)包含特殊字符(如單引號、雙引號、反斜杠等。)，它們將被自動轉(zhuǎn)義。

如果沒有啟用這個配置，我們需要手動調(diào)用addslashes函數(shù)來轉(zhuǎn)義用戶提交的POST、GET和Cooki

編程中的引號怎么輸？

引號shift #39(分號右邊的鍵)在編程時，請注意必須是在php的英文輸入狀態(tài)下。一般來說，單引號比雙引號更有效，因為單引號是完整的引用，而雙引號支持變量和通配符。所以一般來說，字符串建議用單引號。

除了以轉(zhuǎn)義符#34的形式直接輸入，還可以以轉(zhuǎn)義符#34的ASCII值的形式輸入:042三位八進制ASCII值x22兩位十六進制ASCII值#34。