Web 安全开发注意事项

1.sql注入

这个很常规了，不要拼字符串以及过滤关键字都可以防住，需要注意的是，Cookie提交的参数也是可以导致注入漏洞的。 

（1）mysql_real_escape_string 

 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集

 使用方法如下：

$sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' andpassword='". mysql_real_escape_string($pw)."' limit 1";

mysql_real_escape_string()

 作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。

（2） 打开magic_quotes_gpc来防止SQL注入

 php.ini中有一个设置：magic_quotes_gpc = Off

　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，

　比如把 ' 转为 \'等，对于防止sql注射有重大作用。

 如果magic_quotes_gpc=Off，则使用addslashes()函数

（3）自定义函数

function inject_check($sql_str) {     return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);}  function verify_id($id=null) {     if(!$id) {        exit('没有提交参数！');     } elseif(inject_check($id)) {         exit('提交的参数非法！');    } elseif(!is_numeric($id)) {         exit('提交的参数非法！');     }     $id = intval($id);           return $id; }   function str_check( $str ) {     if(!get_magic_quotes_gpc()) {         $str = addslashes($str); // 进行过滤     }     $str = str_replace("_", "\_", $str);     $str = str_replace("%", "\%", $str);          return $str; }   function post_check($post) {     if(!get_magic_quotes_gpc()) {         $post = addslashes($post);    }     $post = str_replace("_", "\_", $post);     $post = str_replace("%", "\%", $post);     $post = nl2br($post);     $post = htmlspecialchars($post);           return $post; }