问如何保护您的网站免受PHP中的本地文件包含和SQL注入？

EN

有许多措施可以采取。在存储到数据库之前，请务必清理所有输入。我建议对将要存储的所有数据使用mysql_real_escape_string（）。将字符输入限制为合理的长度，并确保获得该字段期望的数据类型。锁定多次尝试提交特定数据区域。抓取上传文件的内容以查找恶意模式。

Wikibooks有一章关于SQL注入;

• http://en.wikibooks.org/wiki/Programming:PHP:SQL_Injection

这个清单一直在继续。幸运的是，即使在这方面做了一点努力也可以修补大量的漏洞。

为了防止SQL注入，我建议使用PDO（http://us3.php.net/pdo）。你需要的扩展等可以阻止采用，但它是好东西。

就个人而言，我使用自制的数据库访问层，我的所有查询都通过这一层实现了一系列的好处，包括 mysql_real_escape_string()