{  

    $access = true;  

}

如果运行期间, register_globals 被设置为 ON

 

，那么用户只需要传输 access=1 在一句查

询字符串中就能获取到 PHP

 

脚本运行 的任何东西了。

在.htaccess 中停用全局变量

php_flag register_globals 0

在 php.ini 中停用全局变量

register_globals = Off

 

停 用 类 似 magic_quotes_gpc, magic_quotes_runtime, magic_quotes_sybase   这 些 Magic 

Quotes

在.htaccess 文件中设置

php_flag magic_quotes_gpc 0  

php_flag magic_quotes_runtime 0

在 php.ini 中设置

magic_quotes_gpc = Off   

    

magic_quotes_runtime = Off   

    

magic_quotes_sybase = Off

技巧 3

 

：验证用户输入 你当然也可以验证用户的输入，首先必须知道你期望用户输

 

入的数据类型。 这样就能在浏览器端做好防御用户恶意攻击你的准备。

 

技巧 4

 

：避免用户进行交叉站点脚本攻击 在 Web

 

应用中，都是简单地接受用 户输入

表单然后反馈结果。在接受用户输入时，如果允许 HTML 格式输入将是非常危险的事情，

因为这也就允许了 JavaScript

 

以不可预料的 方式侵入后直接执行。哪怕只要有一个这样漏

洞，cookie 数据都可能被盗取进而导致用户的账户被盗取。

 

技巧 5：预防 SQL

 

注入攻击 PHP 基本没有提供任何工具来保护你的数据库，所以当

你连接数据库时，你可以使用下面这个 mysqli_real_escape_string 函数。

$username = mysqli_real_escape_string( $GET['username'] );