[TOC] ## SQL注入防護 > 1. ~~**addslashes()** ：可以把' "進行轉義，但存在“寬字節注入”漏洞，已廢棄。~~ > 2. **mysql_real_escape_string()**：可有效解決PHP在sql語句組拼時的注入漏洞 > 3. **預處理查詢 (Prepared Statements)**： 先預發送一個**sql模板**給mysql，然后再發送**參數**過去，讓mysql來進行注入處理 > 推薦使用第3類方法，很多框架默認采用此方法！ ## XSS（跨站腳本攻擊）防護 > 通過向表單提交JavaScript腳本／iframe等方式達到竊聽cookie，釣魚網站等方式欺騙用戶 > **htmlspecialchars()**：推薦使用，將>轉換為& gt; ， <轉化為& lt; ## CSRF（跨站點請求偽造）防護 > 跨站點請求偽造：Cross Site Request Forgery > 黑客通過偽裝用戶的請求發送給服務器，從而獲取到受害者的權限和操作。 > 防護方式： > 1. 使用post方式請求。 > 2. 在頁面生成一個隨即串并保存在token中，用于在服務器中（session）比對 > https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/index.html ## DDOS的防護 > 1. 硬件防火墻 > 2. 軟件防火墻，如firewalld，iptables > 3. nginx，apache層的過濾，在配置文件里加入過濾ip > 4. 使用第三方的防ddos商家，如360網站衛士、百度云加速、加速樂等