规则 1:绝不要信任外部数据或输入
对输入数据要处理
规则 2:禁用那些使安全性难以实施的 PHP 设置
PHP。INC设置
规则 3:如果不能理解它,就不能保护它
代码要写的自己能看明白 不是很NB
规则 4:“纵深防御” 是新的法宝
is_numeric() 是无效地
strlen($pid)!ereg("^[0-9]+$",$pid)检查用户输入的长度 防止十六进制字符串