防止SQL注入：永远不要信任外界输入的数据，特别是来自于客户端的，包括选择框、表单隐藏域和 cookie

永远不要信任外界输入的数据，特别是来自于客户端的，包括选择框、表单隐藏域和 cookie

• 永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。
• 检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数，从简单的变量函数和字符类型函数（比如is_numeric()，ctype_digit()）到复杂的Perl 兼容正则表达式函数都可以完成这个工作。

• 如果程序等待输入一个数字，可以考虑使用 is_numeric() 来检查，或者直接使用settype() 来转换它的类型，也可以用sprintf() 把它格式化为数字。

  Example #5 一个实现分页更安全的方法

  <?php

settype($offset, 'integer');
$query = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";

// 请注意格式字符串中的 %d，如果用 %s 就毫无意义了
$query = sprintf("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;",
                 $offset);

?>

• 使用数据库特定的敏感字符转义函数（比如 mysql_escape_string() 和 sql_escape_string()）把用户提交上来的非数字数据进行转义。如果数据库没有专门的敏感字符转义功能的话addslashes() 和str_replace() 可以代替完成这个工作。看看第一个例子，此例显示仅在查询的静态部分加上引号是不够的，查询很容易被攻破。
• 要不择手段避免显示出任何有关数据库的信心，尤其是数据库结构。参见错误报告和错误处理函数。
• 也可以选择使用数据库的存储过程和预定义指针等特性来抽象数库访问，使用户不能直接访问数据表和视图。但这个办法又有别的影响。

除此之外，在允许的情况下，使用代码或数据库系统保存查询日志也是一个好办法。显然，日志并不能防止任何攻击，但利用它可以跟踪到哪个程序曾经被尝试攻击过。日志本身没用，要查阅其中包含的信息才行。毕竟，更多的信息总比没有要好。