1.在保存密码时不要用明文，要使用哈希密码，并且加盐值，此来防范字典破解或者彩虹碰撞。可以使用password_hash函数

2.永远不要信用户的输入，使用外部输入前进行过滤和验证。filter_var() 和 filter_input() 函数可以过滤文本并对格式进行校验。

3.对外部输入插入到原始的sql之前对它进行过滤，最好使用PDO 中的限制参数功能时。