浅谈Php安全和防Sql注入，防止Xss攻击，防盗链，防CSRF [b]前言：[/b] 首先，笔者不是web安全的专家，所以这不是web安全方面专家级文章，而是学习笔记、细心总结文章，里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员，安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是：“知道有这么一回事，编程时自然有所注意”。 [b]目录： [/b]1、php一些安全配置 (1)关闭php提示错误功能 (2)关闭一些“坏功能” (3)严格配置文件权限。 2、严格的数据验证，你的用户不全是“好”人 2.1为了确保程序的安全性，健壮性，数据验证应该包括内容。 2.2程序员容易漏掉point或者说需要注意的事项 3、防注入    3.1简单判断是否有注入漏洞以及原理    3.2常见的mysql注入语句        (1)不用用户名和密码        (2)在不输入密码的情况下，利用某用户        (3)猜解某用户密码 (4)插入数据时提权 (5)更新提权和插入提权同理 (6)恶意更新和删除 (7)union、join等 (8)通配符号%、_ (9)还有很多猜测表信息的注入sql    33防注入的一些方法        2.3.1 php可用于防注入的一些函数和注意事项。        2.3.2防注入字符优先级。 2.3.3防注入代码     (1)参数是数字直接用intval()函数     (2)对于非文本参数的过滤 (3)文本数据防注入代码。 (4)当然还有其他与addslashes、mysql_escape_string结合的代码。 4、防止xss攻击 4.1Xss攻击过程 4.2常见xss攻击地方 4.3防XSS方法 5、CSRF 5.1简单说明CSRF原理 5.2防范方法 6、防盗链 7、防拒CC攻击 [b]1、php一些安全配置[/b] [b](1)关闭php提示错误功能[/b] 在php.ini 中把display_errors改成