[TOC] ## SQL注入防护 > 1. ~~**addslashes()** ：可以把' "进行转义，但存在“宽字节注入”漏洞，已废弃。~~ > 2. **mysql_real_escape_string()**：可有效解决PHP在sql语句组拼时的注入漏洞 > 3. **预处理查询 (Prepared Statements)**： 先预发送一个**sql模板**给mysql，然后再发送**参数**过去，让mysql来进行注入处理 > 推荐使用第3类方法，很多框架默认采用此方法！ ## XSS（跨站脚本攻击）防护 > 通过向表单提交JavaScript脚本／iframe等方式达到窃听cookie，钓鱼网站等方式欺骗用户 > **htmlspecialchars()**：推荐使用，将>转换为& gt; ， <转化为& lt; ## CSRF（跨站点请求伪造）防护 > 跨站点请求伪造：Cross Site Request Forgery > 黑客通过伪装用户的请求发送给服务器，从而获取到受害者的权限和操作。 > 防护方式： > 1. 使用post方式请求。 > 2. 在页面生成一个随即串并保存在token中，用于在服务器中（session）比对 > https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/index.html ## DDOS的防护 > 1. 硬件防火墙 > 2. 软件防火墙，如firewalld，iptables > 3. nginx，apache层的过滤，在配置文件里加入过滤ip > 4. 使用第三方的防ddos商家，如360网站卫士、百度云加速、加速乐等