安全问题是编程言语中需求考虑的重要部分，几乎在任何一种实践的言语中都会供给一些函数，模块，或其它保证安全的功用。在现代互联网中，咱们常常要从世界各地的用户中取得输入数据。可是，咱们都知道“永久不能信任那些用户输入的数据”。所以在各种的Web开发言语中，都会供给保证用户输入数据安全的函数。今日，咱们就来看一看作为最著名的开源言语PHP中供给的这样的函数。

在PHP中，有些十分有用并且便利的函数，它们能够协助你的网站避免呈现像SQL注入进犯，XSS进犯等问题。咱们看看这些在PHP中能够保证项目安全的函数，下面列出的这些函数仅仅我发现的对你项目有协助的，可能会不全。

1. mysql_real_escape_string()

这个函数关于在PHP中避免SQL注入进犯很有协助，它对特别的字符，像单引号和双引号，加上了“反斜杠”，保证用户的输入在用它去查询曾经现已是安全的了。但你要留意你是在衔接着数据库的情况下运用这个函数。

但现在mysql_real_escape_string()这个函数根本不用了，一切新的运用开发都应该运用像PDO这样的库对数据库进行操作，也就是说，咱们能够运用现成的句子避免SQL注入进犯。

2. addslashes()

这个函数和上面的mysql_real_escape_string()很类似。但要留意当设置文件php.ini中的magic_quotes_gpc的值为“on”时，不要运用这个函数。默许情况下， magic_quotes_gpc 为 on，对一切的 GET、POST 和 COOKIE 数据主动运转 addslashes()。不要对现已被 magic_quotes_gpc 转义过的字符串运用 addslashes()，由于这样会导致双层转义。你能够经过PHP中get_magic_quotes_gpc()函数查看这个变量的值。

3. htmlentities()

这个函数对过滤用户输入数据十分有用，它能够把字符转化为 HTML 实体。比方，当用户输入字符“<”时，就会被该函数转化为HTML实体<，因而避免了XSS和SQL注入进犯。

4. htmlspecialchars()

HTML中的一些字符有着特别的意义，假如要表现这样的意义，就要被转化为HTML实体，这个函数会回来转化后的字符串，比方，‘&’amp会转为‘&’。

5. strip_tags()

这个函数能够去除字符串中一切的HTML，JavaScript和PHP标签，当然你也能够经过设置该函数的第二个参数，让一些特定的标签呈现。

6. md5()

一些开发者存储的暗码十分简略，这从安全的角度上看是欠好的，md5()函数能够发生给定字符串的32个字符的md5散列，并且这个进程不可逆，即你不能从md5()的成果得到原始字符串。

7. sha1()

这个函数和上面的md5()类似，可是它运用了不同的算法，发生的是40个字符的SHA-1散列(md5发生的是32个字符的散列)。

8. intval()

不要笑，我知道这不是一个和安全相关的函数，它是在将变量转成整数类型。可是，你能够用这个函数让你的PHP代码更安全，特别是当你在解析id，年纪这样的数据时。

原文：http://www.pixelstech.net/Article/1300722997-Useful-functions-to-provide-secure-PHP-application