php如何防止sql注入？

额，这是我老师给的答案\x0d\x0a\x0d\x0a答：过滤一些常见的数据库 *** 作关键字,\x0d\x0a select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤\x0d\x0aphp配置文件中register_globals=off设置为关闭状态.(作用将注册全局变量关闭)如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值\x0d\x0asql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号\x0d\x0a提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中\x0d\x0a对于常的方法加以封装,避免直接暴漏SQL语句\x0d\x0a开启PHP安全模式safe_mode=on\x0d\x0a打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"\x0d\x0a控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志\x0d\x0a使用MYSQLI或PDO预处理

如果别人已经可以下载你的php文件了，说明你的服务器他可以随便 *** 作了，也就没有什么安全可言了，就算你数据库信息再保密，他也可以拿的到了，

这些要在服务器上做安全，例如，除了你本服务器外，其它IP都不可以访问数据库，

---