Benim öneriler:

1. lehine mysqli hendek PDO (mysql sürücüsü ile)
2. PDO hazırlanmış deyimleri paremeterized kullanın

Daha sonra gibi bir şey yapabilirsiniz:

$pdo_obj = new PDO( 'mysql:server=localhost; dbname=mydatabase', 
                    $dbusername, $dbpassword );

$sql = 'SELECT column FROM table WHERE condition=:condition';
$params = array( ':condition' => 1 );

$statement = $pdo_obj->prepare( $sql, 
    array( PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY ) );
$statement->execute( $params );
$result = $statement->fetchAll( PDO::FETCH_ASSOC );

PROs:

1. PDO sizin yerinize yapar beri kaçan Artık manuel!
2. Bu ani bir veritabanı backend'e geçiş nispeten kolaydır.

CONs:

• i herhangi düşünemiyorum.

OWASP bağlantı vardır Javier cevabı iyi bir başlangıçtır.

Daha yapabileceğiniz birkaç şey daha vardır:

1. SQL enjeksiyon saldırıları ile ilgili olarak, "BIRAKMA" veya "DELETE *", bu benzeri gibi girişten yaygın SQL ifadeleri kaldıracak bir fonksiyon yazabiliriz:

   * $ Sqlarray = array ("kullanıcılar" FROM "DAMLA", "ya = 1 1", "sendika seçme", "SELECT * FROM", "ana seçmek", "tablo oluşturmak", "kullanıcılar"); *

   Sonra bu diziden karşı girişini kontrol edecek fonksiyon yazmak. $ Sqlarray içindeki herhangi bir madde kullanıcılardan yaygın girdi olmayacaktır emin olun. (Teşekkürler lou, bu konuda strtolower kullanmayı unutmayın).

2. Ben memcache PHP 4 ile çalışır ama sadece Y dönemde kez process.php sayfası X miktarı belli bir uzak IP erişimi sağlayarak yerinde memcache ile bazı spam koruması koyabilirsiniz emin değilim.

3. Ayrıcalıklar önemlidir. (Diyelim ki sipariş işleme) ayrıcalıklar eklemek sadece gerekiyorsa, o zaman sadece eklemek ve belki ayrıcalıkları seçin sahip bir kullanıcı ile sipariş süreci sayfasında veritabanına giriş yapmalıdır. Bu, bir SQL enjeksiyon ile var olsa bile, sadece silebilir ya da yeniden yapılandırma INSERT / SELECT sorguları gerçekleştirmek ve olamazdı anlamına gelir.

4. Bir dizinde önemli bir php işleme dosyaları koyun gibi / bulunmaktadır. Sonra bu bütün IP'leri erişimine izin vermemek / dizini bulunmaktadır.

5. Kullanıcının oturumunda kullanıcının ajan + remoteip + senin tuz ile tuzlu MD5 koymak ve doğru MD5 kendi çerez olduğunu her sayfa yük doğrulamak olun.

6. Bazı başlıkları Disallow (http://www.owasp.org/index.php/Testing_for_HTTP_Methods_and_XST). (Eğer dosya yükleme ihtiyacım yoksa) PUT Disallow / İZ / CONNECT / başlıkları SİL.

Ben genellikle bu yüzden özellikle sizin ihtiyaçlarına hedeflenen öneriler sağlayamaz PHP ile çalışmak yok, ama OWASP sayfasına bir göz, özellikle ilk 10 açıklarını rapor almanızı öneririz: http://www.owasp.org/index.php/Top_10_2007

Bu sayfa, her güvenlik açığı için size farklı platformlarda sorunu önlemek için yapabileceğiniz şeylerin bir listesini almak (. Net, Java, PHP, vb)

Hazırlanan tablolar ile ilgili, onlar motoru gerçek parametresinin parçası olarak değil ayrıştırıldı gereken bir şey vardır hangi karakterleri anlayabilir bu bilgileri kullanarak, kaç tane parametre ve belirli bir sorgu sırasında beklemek ne tipleri veritabanı motoru bildirerek çalışmak bir dize sınırlayıcı olarak bir 'yerine bir veri parçası olarak (kesme işareti)' gibi SQL. Üzgünüm PHP hedefleyen daha fazla bilgi sağlamak, ama bu yardımcı olur umarım olamaz.

AFAIK, PHP / MySQL genellikle parametreli sorgular yoktur.

sprintf() mysql_real_escape_string() oldukça iyi çalışması gerektiğini ile kullanma. Eğer sprintf() (tamsayılar için örneğin "% d") uygun biçim dizeleri kullanırsanız, oldukça güvenli olmalıdır.

Ben yanlış olabilir, ama kullanıcı sağlanan verilere mysql_real_escape_string kullanmak için yeterli olmamalı?

Onlar ctype_digit yerine örneğin kullanarak olduklarından emin gerçek sayı olan yapmak gerekir, bu durumda sayı olduğunda sürece or is_numeric or sprintf {[(3)] } veya %u), bir dizi girdi zorlamak için.

DB Yazi Becerisi I içeren herhangi bir faaliyet için saklı yordamlar kullanın ve tüm seçtiği için bağlama parametrelerini kullanın.