PHP防注入

可以通过 参数化查询 PDO的预处理 来实现
参考:http://zhangxugg-163-com.iteye.com/blog/1835721

xss攻击

首先设置HttpOnly参数,一般cookie都是从document对象中获取的,现在浏览器在设置Cookie的时候一般都接受一个叫做HttpOnly的参数,跟domain等其他参数一样,一旦这个HttpOnly被设置,你在浏览器的document对象中就看不到Cookie了。

然后使用htmlspecialchars函数过滤用户输入的数据。