在现代互联网中,我们经常要获取来自世界各地用户的输入数据。但是,我们都知道“您永远不能相信用户输入的数据”。因此,在各种Web开发语言中,都提供了保证用户输入数据安全的功能。在PHP中,有一些非常实用方便的功能可以帮助你的网站预防SQL注入攻击、XSS攻击等问题。当然在PHP代码编写中,IDE(如:PhpStorm、ZendStudio)都会有功能高亮显示为了保证开发者的使用,也有人使用代码混淆工具来保护这些函数或代码(如:ZendGuard),这些手段都是用来保证PHP函数的使用和安全的。今天我们主要看看这些函数是如何定义和工作的。mysql_real_escape_string()这个函数对防止PHP中的SQL注入攻击很有帮助。它添加了“反斜杠”以确保用户的输入在使用它进行查询之前已经是安全的。但是你要注意你是在连接数据库的情况下使用这个函数的。但是现在基本不用mysql_real_escape_string()这个函数了。所有新的应用程序开发都应该使用像PDO这样的库来操作数据库。也就是说,我们可以使用现成的语句来防止SQL注入攻击。addslashes()函数与上面的mysql_real_escape_string()非常相似。但注意不要在php.ini文件中将magic_quotes_gpc的值设置为“on”时使用该函数。默认情况下,magic_quotes_gpc处于打开状态,它会自动对所有GET、POST和COOKIE数据运行addslashes()。不要对已被magic_quotes_gpc转义的字符串使用addslashes(),因为这会导致双重转义。您可以使用PHP中的get_magic_quotes_gpc()函数检查此变量的值。htmlentities()函数对于过滤用户输入数据非常有用,它可以将字符转换为HTML实体。例如,当用户输入字符“<”时,会被该函数转换为HTML实体<,从而防止XSS和SQL注入攻击。htmlspecialchars()HTML中的某些字符具有特殊含义。如果要体现这样的含义,就必须将它们转换成HTML实体。此函数将返回转换后的字符串。例如,'&'amp将转换为'&'。strip_tags()函数可以删除字符串中的所有HTML、JavaScript和PHP标签。当然你也可以通过设置这个函数的第二个参数让一些特定的标签出现。md5()一些开发人员存储非常简单的密码,从安全的角度来看这并不好。md5()函数可以生成给定字符串的32个字符的md5散列,而且这个过程是不可逆的,也就是说,你无法从md5()的结果中得到原始字符串。sha1()函数与上面的md5()类似,但它使用不同的算法并生成40个字符的SHA-1散列(md5生成32个字符的散列)。intval()别笑,我知道这不是一个和安全相关的函数,它是把变量转换成整型。但是,您可以使用此功能使您的PHP代码更加安全,尤其是在解析id、age等数据时。
