1、写参数白名单----每个url提交过来的参数 我们做一个白名单。这样允许通过的访问的,若是传输别的参数,我们就禁止访问。
2、限制参数传值的长度 strlen
3、限制参数的类型 intval strval等
4、检验类型是否正确 is_int is_string is_array等
5、若是知道传的参数值是什么来,我们可以事先弄一个指定要传的值,然后判断是否在这值里面的内容 $tem_arr=['chashu1','canshu2'];
6、过滤:正在匹配。判断是否含有敏感的资源。
7、mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
8、addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
9、有哪些方式:强制转换,使用函数intval 或者 数据类型的 关键字 int; 隐式转换,通过运算,只需要 +0即可。
哈哈,以上的都是思路,具体的还是跟你的实际来做判断的。