1. mysql_real_escape_string

这个函数对付在PHP中防止SQL注入攻击很有帮助,它对分外的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。
但你要把稳你是在连接着数据库的情形下利用这个函数。

但现在mysql_real_escape_string这个函数基本不用了,所有新的运用开拓都该当利用像PDO这样的库对数据库进行操作,也便是说,我们可以利用现成的语句防止SQL注入攻击。

phpget安全PHP八年夜平安函数解析 HTML

2. addslashes

这个函数和上面的mysql_real_escape_string很相似。
但要把稳当设置文件php.ini中的magic_quotes_gpc 的值为“on”时,不要利用这个函数。
默认情形下, magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据 自动运行 addslashes。
不要对已经被 magic_quotes_gpc 转义过的字符串利用 addslashes,由于这样会导致 双层转义。
你可以通过PHP中get_magic_quotes_gpc函数检讨这个变量的值。

3. htmlentities

这个函数对过滤用户输入数据非常有用,它可以把字符转换为 HTML 实体。
比如,当用户输入字符“<”时,就会被该函数转化为HTML实体<,因此防止了XSS和SQL注入攻击。

4. htmlspecialchars

HTML中的一些字符有着分外的含义,如果要表示这样的含义,就要被转换为HTML实体,这个函数会返回转换后的字符串,比如,‘&’amp会转为‘&’。

5. strip_tags

这个函数可以去除字符串中所有的HTML,JavaScript和PHP标签,当然你也可以通过设置该函数的第二个参数,让一些特定的标签涌现。

6. md5

一些开拓者存储的密码非常大略,这从安全的角度上看是不好的,md5函数可以产生给定字符串的32个字符的md5散列,而且这个过程不可逆,即你不能从md5的结果得到原始字符串。

7. sha1

这个函数和上面的md5相似,但是它利用了不同的算法,产生的是40个字符的SHA-1散列(md5产生的是32个字符的散列)。

8. intval

不要笑,我知道这不是一个和安全干系的函数,它是在将变量转成整数类型。
但是,你可以用这个函数让你的PHP代码更安全,特殊是当你在解析id,年事这样的数据时。

前面说到,为确保PHP程序对数据的安全掌握,会利用PHP程序代码稠浊工具,在此

本站文章除注明转载外,均为本站原创或翻译