PHP注入的安全规范

Php注入的安全防范通过上面的过程，我们可以了解到php注入的原理和手法，当然我们也同样可以制定出相应该的防范方法：

首先是对服务器的安全设置，前面的windows服务器的安全设置我们已经讲了，不再重复，这里主要是php+mysql的安全设置和linux主机的安全设置。对php+mysql注射的防范,首先将magic_quotes_gpc设置为On，display_errors设置为Off，如果id型，我们利用intval()函数将其转换成整数类型，如代码：

$id=intval($id);
mysql_query=”select *from example where articieid=’$id’”;或者这样写：mysql_query("SELECT * FROM article WHERE articleid=".intval($id)."")

如果是字符型就用addslashes()过滤一下，然后再过滤”%”和”_”如：

$search=addslashes($search);
$search=str_replace(“_”,”\_”,$search);
$search=str_replace(“%”,”\%”,$search);
当然也可以加php通用防注入代码：
/*************************

PHP通用防注入安全代码

说明：

判断传递的变量中是否含有非法字符

如