PHP基本安全防范，初学者必看

1、一般页面通过GET接收的参数都是INT型（整型）居多，但是要防范一些不规范的输入，接收时用整型函数转换一下
            $id=intval($_GET["id"]);
2、有上传功能时，一定要检查文件类型。不能任意由访客上载所有文件。（特别要注意一些HTML编辑器的漏洞）
3、网站正式推出后，前面加上一句：error_reporting(0);   不要将错误显示出来
4、凡保存密码的字段都用MD5加密再保存。并且限制密码的复杂度，这样即使受到SQL注入攻击，获取的也是不能解密的密文。虽然现在有些工具可以反破解MD5加密，一般都是用穷举法，对于复杂的密码还是无法破解的。
5、编写搜索引擎机器人规则即（robots.txt，具体规则可以百度下，或者参考百度爬虫规则http://www.baidu.com/search/robots.html），不要让搜索引擎收录敏感的文件。
6、使用查询时尽量不要使用 select * from table_name ，即使是需要查询全部的字段，而应该使用 select 字段1,字段2,字段3 from table_name这种形式，避免别人利用注入攻击查询了其它的字段甚至其它的表字段。
7、不能只用javascript对用户输入进行安全性检查，提交之后仍要再检查一次
http://www.zhengbin.org/