1：防SQL注入，prepare

• 使用预处理语句： delete from user where id = ?

2：写入数据库的数据要进行特殊字符的转义

3：查询错误信息不要返回给用户，将错误记录到日志

4：PDO

PHP端尽量使用PDO对数据库进行相关操作，并且对预处理语句很好的支持，MySQLi也有，但是可扩展性不如PDO，效率高于PDO，MySQL函数在新版本中已经趋向于淘汰，所以不建议用，而且它没有很好的支持预处理

5：其它安全设置

• 定期做数据备份
• 不给查询用户root权限，合理分配权限
• 关闭远程访问数据库权限
• 修改root口令，不用默认口令，使用较复杂的口令
• 删除多余的用户
• 改变root用户的名称
• 限制一般用户浏览其他库
• 限制用户对数据文件的访问权限