A、不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接

B、不要把机密信息直接存放，加密或者hash掉密码和敏感的信息

C、不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取

D、对表单里的数据进行验证与过滤，在实际开发过程中可以单独列一个验证函数，该函数把每个要过滤的关键词如select，1=1等都列出来，然后每个表单提交时都调用这个函数