PHP编程如何去做防注入？

网友解答: php的安全，防注入简单的有三种，第一是MySQL的PDO预处理；通过绑定参数，过滤非法数据。第二是对html标签，特殊标签的过滤，通过php的函数，htmlspecialc

网友解答:

php的安全，防注入简单的有三种，

第一是MySQL的PDO预处理；通过绑定参数，过滤非法数据。

第二是对html标签，特殊标签的过滤，通过php的函数，htmlspecialchars_encode对特殊标签转义，例：<scriptalert(11111)</script

第三，框架中一般通过csrf验证，防止大量垃圾数据的涌入，机制是后台给前台复制随机字符串，然后前台携带过来比较！

废话不多说，纯手打，手疼！(づ ●─● )づ

用户提交的数据都是危险数据，都要安全过滤，多多交流！

网友解答:

说三个方法吧

1.实施Web应用程序防火墙安全服务，以有效防止注入。

（WAFS）是一个云托管的解决方案，它拥有世界各地的数据中心，根据位置，IP和各种其他方法了解访问者，并保护您的应用程序的SQL Injections，Hack Prevention。WAFS带有符合PCI标准的数据安全和恶意软件保护。

2.使用MONGODB数据等类型产品

3.编程方法 1：在服务器端验证用户输入。

方法2：使用参数化查询。

例如 查询，举栗子

使用预准备语句和参数化查询。 这些是由数据库服务器独立于任何参数发送并解析的SQL语句。这样攻击者不可能注入恶意的SQL。

你基本上有两个选择来实现这个意图：

使用：PHP：PDO - 手册

$ stmt = $ pdo- prepare（'SELECT * FROM employees WHERE name =：name'）; $ stmt- execute（array（'name'= $ name））; foreach（$ stmt as $ row）{do something with $row}

使用：PHP：MySQLi - 手册

$ stmt = $ dbConnection- prepare（'SELECT * FROM employees WHERE name =？'）; $ stmt- bind_param（'s'，$ name）; $ stmt-execute（）; $ result = $ stmt- get_result（）; while（$ row = $ result- fetch_assoc（））{//do something with $row}

验证永远是一个好方法...