网站被挂马

今天一个客户的网站被挂马了TP框架下如何防止网站被注入呢？？

对于 WEB 应用来说， SQL 注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：

$User = M( "User" );  //  实例化 User 对象

$User->find($_GET["id"]);

即便用户输入了一些恶意的 id 参数，系统也会自动加上引号避免恶意注入。事实上， ThinkPHP 对所有的数据库 CURD 的数据都会进行 escape_string 处理。

通常的安全隐患在于你的 查询条件使用了字符串参数 ，然后其中一些变量又依赖由客户端的用户输入，要有效的防止 SQL 注入问题，我们建议：

²  查询条件尽量使用数组方式，这是更为安全的方式；

²  开启数据字段类型验证，可以对数值数据类型做强制转换；

²  使用自动验证和自动完成机制进行针对应用的自定义过滤；

字段类型检查、自动验证和自动完成机制我们在模型部分已经有详细的描述，