sql注入的基本防範手段

基本的sql注入防護手段，歸納來說就是權限控制和關鍵詞過濾。

防護sql注入
============================================================================================================================================================================
mysql有四個級別的權限，用戶級、庫級、表級、列級。
select into outfile '<file-name>';須要全局的file權限，在mysql.user中有記錄，
通常賦予某個庫的全部權限在mysql.db中有記錄。
http://www.blogjava.net/xiaomage234/archive/2011/11/04/362677.html

抵禦mysql注入,作到如下幾點：
	一、後臺鏈接數據庫的用戶，不要賦予file privilege，讓其沒法執行select into outfile，load_file等命令
	二、mysql用戶不能在網站目錄有可寫權限，不然可能掛馬
	三、其實只要post或get提交的參數中含有select、union、between、if、from、sleep、分號、單引號、#、--、逗號、(、）等關鍵字就能夠返回404錯誤，在數據庫採用UTF8編碼且將單引號轉義，
	   讓攻擊者沒法獲得任何能夠利用的信息。
	四、提交的參數在用來查詢數據庫時，可以使用pdo進行參數綁定，預編譯將數據和指令區分開。