安全性一直是編程語言中值得關注的領域。在任何成熟的編程語言中，都有合適的方法來確保程序的安全性。在現代WEB開發中，我們經常需要處理用戶輸入。 （所以在這個時候，問題就來了。）有一個編程格言：不要相信用戶輸入的安全性。所以，今天我將介紹一些最常用的方法來為PHP代碼提供安全性。

PHP中有許多方便的函數可以幫助您避免SQL注入和XSS攻擊。現在讓我們來看看為項目增加安全性的這些函數。但請注意，這只是一些常用功能的列表，可能并不全面，但我相信它們對您的項目非常有幫助。

Mysql_real_escape_string（string sqlQuery）：

●考慮到連接的當前字符集，轉義SQL語句中使用的字符串中的特殊字符。一個非常有用的函數，可以有效地避免SQL注入。

將轉換以下字符：

\ X00，\ N，\ r \”，”，\ X1A

在執行sql語句之前，使用此函數執行sql查詢將會破壞底座中的一些危險。

但是現在在更成熟的項目中，通常建議使用像PDO這樣的數據庫持久層來處理所有數據庫操作。它們代表了一種更先進的數據庫操作處理技術，在安全性和數據讀寫速度方面比舊的mysql_ * api強大得多。

Addslashes（）：

將某些數據插入數據庫時，此功能非常有用。它可以在一個反引號之前，以便插入數據而不會出錯。但它的使用與php.ini中的設置有關 - magic_quotes_gpc

1.對于PHP magic_quotes_gpc=on，我們可以對輸入和輸出數據庫的字符串數據執行addslashes（）和stripslashes（）操作，數據將正常顯示。

如果此時對輸入數據執行addlashes（），則必須使用stripslashes（）在輸出時刪除額外的反斜杠。

2.對于PHP magic_quotes_gpc=off

必須使用addslashes（）處理輸入數據，但不需要使用stripslashes（）來格式化輸出，因為addslashes（）不會向數據庫寫入反斜杠，只是為了幫助mysql完成sql語句的執行。

[stripslashes（）：刪除addslashes（）函數添加的反斜杠。 】

Htmitientities（）：

處理輸出的一個非常有用的功能。它用于將可能導致XXS攻擊的某些字符轉換為html實體。瀏覽器顯示這些字符時這些字符是正常的，但是當您查看其源代碼時，他將不會顯示這些特殊字符。這樣，例如

輸出：

約翰＆amp; “亞當斯”

源代碼：

約翰＆安培; '亞當斯';

輸出：

＆LT;＆GT;

源代碼：

＆LT;＆的GT，GT;

有效地編碼這些符號可以避免XSS攻擊。

用htmlspecialchars（）：

它與上面的函數相同，但它更常見，因為htmlentities（）將html標準中定義的所有字符轉換為相應的html實體，這將使您的輸出更不可讀（Html實體列表http://www.w3school.com。 CN /標簽/html_ref_entities.html）。因此，使用htmlspecialchars（）只是將一些預定義的字符（導致問題）轉換為html實體。例如：

＆安培; （和）成為＆amp;

“（雙引號）變為”

'（單引號）變為'

＆LT; （小于）變為＆lt;＆lt;＆gt;

＆GT; （大于）變為＆gt;

所以，在某些項目中，我仍然使用htmlspecialchars（）來處理html的輸出。他在安全方面更具體。

Strip_tags（）:通常用于輸出以去除HTML，XML和PHP標記。

原型：strip_tags（string，allow）

String表示輸入字符串，allow表示未刪除的標簽。您可以使用allow來自定義要過濾的標簽

Md5（）：

將字符串轉換為32位哈希值（無法進行反向解碼）的函數。任何字符串都可以通過此函數獲得唯一的32位字符串。但是，現在使用此功能時，需要注意一些數據庫記錄中的大量md5值，通過強力枚舉破解密碼，因此在使用時，可以先在原始字符串中添加一個圖層。密度，然后使用md5（）哈希，將獲得更好的結果。

Sha1（）：

一個類似于md5（）和類似的函數，但他使用不同的算法生成一個40個字符的字符串。可以考慮在項目中使用。

Intval（）：

也許您認為此功能不是安全功能。但在某些情況下，它可以很好地保護您的代碼。從用戶收集的一些數據（如ID，密碼和用戶名）可能會消除一些安全風險。畢竟，這是受災最嚴重的地區

標簽:＆amp; nbsp＆amp; nbspMarketing type 網站建設＆amp; nbspMarketing type 網站＆amp; nbsp沈陽Marketing type 網站建設