1、别人可以顺利绕过你的登陆检查或着密码太弱，别人可以轻易猜出来3，有注入漏洞额，2和3其实是一个问题推荐你把网站整个下载下来，用杀毒软件扫描一下，再用dw源码搜索搜 quotzendquot关键字方要用来检查后门用zend加了密。

2、如果是字符型就用addslashes过滤一下，然后再过滤”%”和”_”如search=addslashes$searchsearch=str_replace“_”，”\_”，$searchsearch=str_replace“%”，”\%”，$search当然也可以加php通用防注入代码 PHP通用防注入安全代码 说明判断传递的变量中是否含有非法字符 如$_POST。

3、_SESSION#39language#39 = #39fr#39上面代码将用户语言存储在了名为language的Session变量中，因此在该用户随后的请求中，可以通过全局数组$_SESSION来获取languageuser_language = $_SESSION#39language#39依赖注入主要用于面向对像开发，现在让我们假设我们有一个SessionStorage类，该类封装了PHP Session机制。

4、防范SQL注入 使用mysql_real_escape_string函数 在数据库操作的代码中用这个函数mysql_real_escape_string可以将代码中特殊字符过滤掉，如引号等如下例q = quotSELECT `id`FROM `users`WHERE `username`= #39quotmysql_real_escape_string_GET#39username#39quot#39AND `password`= #39quotmysql_。

5、一，HTML防注入一般的html注入都是在字符串中加入了html标签，用下JAVA代码可以去掉这部分代码代码如下，自己封装成方法即可String msge = quotasdasdasdasd asdfsdfquotmsgemsge = msgereplacequotquot， quotquotmsge = msgereplacequotltquot， quotltquotmsge = msgereplace。

6、代码如下lt？php sqlin 防注入类 class sqlin dowith_sql$valuefunction dowith_sql$str str = str_replacequotandquot，quotquot，$strstr = str_replacequotexecutequot，quotquot，$strstr = str_replacequotupdatequot，quotquot，$strstr = str_replacequotcountquot，quotquot，$strstr = str_。

7、一方面，如果你使用双引 号来允许PHP在字符串内的变量替代，这样可以使得输入查询更为容易些另一方面，这无可否认，只是极少量地也会减少以后PHP代码的分析工作 下面，让我们使用我们一开始使用的那个非注入式查询来说明这个问题 SELECT * FROM wines WHERE variety = ’lagrein’ 或以PHP语句表达为 $query。

8、比如你要提交的表单姓名为name，联系方式为tel，邮箱为mail，留言为msg举例代码如下lt？php$name = isset$_REQUEST#39name#39 ？ addslashes$_REQUEST#39name#39 #39匿名#39$tel = isset$_REQUEST#39tel#39 ？ addslashes$_REQUEST#39tel#39 #39匿名#39$mail = isset$_REQUEST#39mail#39。

9、function customError$errno， $errstr， $errfile， $errline echo quotError number $errno，error on line $errline in $errfilequot die set_error_handlerquotcustomErrorquot，E_ERROR $getfilter=quot#39andorb+？lt=inlike*+？*lts*script。

10、404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞ASP错误嘛，可能会向不明来意者传送对方想要的信息6慎重选择网站程序 注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤7谨慎上传漏洞 据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

11、post = nl2br$post 回车转换 post = htmlspecialchars$post html标记转换 return $post 2函数的使用实例 lt？php if inject_check$_GET#39id#39 exit#39你提交的数据非法，请检查后重新提交#39 else id = $_GET#39id#39处理数据 。

12、function inject_check$Sql_Str 自动过滤Sql的注入语句$check=preg_match#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfilei#39，$Sql_Strif $check echo #39alertquot系统警告\n\n请不要尝试在参数中包含非法字符尝试注入quot#39exit。

13、User = MquotUserquot 实例化User对象 Userfind$_GETquotidquot即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理real_。

14、使用PDO防注入这是最简单直接的一种方式，当然低版本的PHP一般不支持PDO方式去操作，那么就只能采用其它方式采用escape函数过滤非法字符escape可以将非法字符比如 斜杠等非法字符转义，防止sql注入，这种方式简单粗暴，但是不太建议这么用自己手写过滤函数，手写一个php sql非法参数过滤函数来说还是比较。

15、受影响版本879X以及管理后台添加新用户时的脚本注入受影响版本87影响版本phpwind 9x以及87，871 漏洞等级高危 修复建议1安装官方最新补丁，官方补丁 2添加网站至云观测，及时了解网站组件突发0day漏洞。