網(wǎng)友解答: 方法有很多，網(wǎng)上的參考例子也比較多，建議從以下幾個(gè)方面進(jìn)行：一、使用好的php框架例如目前流行的thinkphp等框架等，已經(jīng)考慮了這些方面問題，直接應(yīng)用肯定會(huì)比自己寫的代碼

方法有很多，網(wǎng)上的參考例子也比較多，建議從以下幾個(gè)方面進(jìn)行：

一、使用好的php框架

例如目前流行的thinkphp等框架等，已經(jīng)考慮了這些方面問題，直接應(yīng)用肯定會(huì)比自己寫的代碼防注入性要強(qiáng)一些，畢竟每個(gè)人的水平參差不齊，總有遺漏的地方。

二、每個(gè)頁面對(duì)輸入的值進(jìn)行過濾和校驗(yàn)

這個(gè)工作量會(huì)比較大，就是驗(yàn)證一下輸入的值是否符合要求，比如一個(gè)數(shù)字參數(shù)，傳了一些古怪字符進(jìn)來，都是要過濾的。php里面也有參數(shù)設(shè)置對(duì)get,post值進(jìn)行處理，去掉分隔符等。

三、服務(wù)器托管

最好選擇如騰訊云，阿里云這些服務(wù)器，相對(duì)比自己去其他小機(jī)房托管，本身就可以幫阻止一些不必要的攻擊了。

四、服務(wù)器運(yùn)行權(quán)限

這里有2個(gè)地方：

1、設(shè)置使用非root用戶來運(yùn)行你的php，防止php擁有太多的執(zhí)行服務(wù)器指令的機(jī)會(huì)。

2、對(duì)于php中，能夠上傳文件的php程序，以及上傳的文件，要進(jìn)行專門驗(yàn)證，不要讓別人有利用這個(gè)入口上傳木馬后臺(tái)程序的機(jī)會(huì)。

五、掃描工具

上傳程序到服務(wù)器以后，可以用例如360的漏洞掃描工具，掃描一下網(wǎng)站，看看有沒有明顯的漏洞。

希望以上思路可以對(duì)大家有所參考和幫助！

-------------------------------------------

本人從事信息系統(tǒng)、互聯(lián)網(wǎng)、各種應(yīng)用架構(gòu)設(shè)計(jì)開發(fā)20年，目前專注于股票期貨程序化交易，AI機(jī)器學(xué)習(xí)領(lǐng)域，歡迎交流。

這個(gè)問題感覺對(duì)一個(gè)多年開發(fā)人員來說應(yīng)該還是比較有資格回答的，畢竟錄制過sql注入以及防御的課程。

搞明白sql注入

注入攻擊漏洞例如SQL，OS以及LDAP注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語句的一部分，被發(fā)送給解釋器的時(shí)候。攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙解釋器，以執(zhí)行計(jì)劃外的命令或者在未被恰當(dāng)授權(quán)時(shí)訪問數(shù)據(jù)。

然后給大家看看經(jīng)常會(huì)引起sql注入的sql語句

1'or 1=1 #

2'or 1=1 --（空格）

3union all select 1,2,3 #

4username=‘ UNION SELECT 1,version(),3 #（版本）

5username=‘ UNION SELECT 1,user(),3 #（用戶）

然后再給大家介紹一下sql注入的一個(gè)工具是sqlmap

最后給大家兩點(diǎn)建議

1 使用預(yù)處理語句PDO

2 對(duì)參數(shù)進(jìn)行轉(zhuǎn)義（addslashes/mysql_real_escape_string）

當(dāng)然了大家如果想具體學(xué)習(xí)sql的攻擊原理以及，sql的防御。和sqlmap的使用可以私聊我哦