PHP MYSQL注入攻击需要预防7个要点

1数字型参数使用类似intval，floatval这样的方法强制过滤。

2字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤，而不是简单的addslashes。

3最好抛弃mysql_query这样的拼接SQL查询方式，尽可能使用PDO的prepare绑定方式。

4使用rewrite技术隐藏真实脚本及参数的信息，通过rewrite正则也能过滤可疑的参数。

5关闭错误提示，不给攻击者提供敏感信息display_errors=off。

6以日志的方式记录错误信息log_errors=on和error_log=filename，定期排查，Web日志最好也查。

7不要用具有FILE权限的账号（比如root）连接MySQL，这样就屏蔽了load_file等危险函数。