留言板防灌水功能应该怎么做？怎么防止sql注入？用PHP编写

防灌水：

对无意义帖判定，比如：字数太少，纯数字，无意义的连续数字或字母。

发帖时间间隔和发帖量

系统设置一批关键词匹配，发现有类似的先设为需审核 ，由后台手动 *** 作。

防sql注入

先对提交数据中的危险字符过滤或编码。比如：名称或帖子标题，一定不能是html，直接进行htmlencode ，最后输出到页面上，也不会变成html，而是显示原始字符。对需要使用html的内容部分，过滤script，style等标签，或者直接用strip_tags 函数只保留必要的段落等排版标签。

其次也可以考虑使用bbcode或markdown等对排版有限制的语法转义

数据库 *** 作使用pdo参数编译的模式，可以有效防止提交数据中的注入字符（会变成正常字符插入到数据库中，这也可以防止误判，因为很多IT类的技术帖需要在内容中有这些关键字）

数据库：是按一定的数据模型组织长期地存储在计算机存储的设备上，具有共享性、安全性、独立性、冗余度低的相关数据的集合。用于数据管理的软件系统。

数据库通常包括两个部分：一是按一定的数据模型组织并实际存储的所有用户可以直接的使用的数据；二是有关数据库的定义的数据，用来描述相关的数据的结构、类型、格式、关系、完整性的约束等。

---