PHP安全有幫助的一些函數

安全是程式設計非常重要的一個方面。在任何一種程式設計語言中，都提供了許多的函數或者子產品來確定程式的安全性。在現代網站應用中，經常要擷取來自世界各地使用者的輸入，但是，我們都知道“永遠不能相信那些使用者輸入的資料”。是以在各種的web開發語言中，都會提供保證使用者輸入資料安全的函數。今天，我們就來看看，在著名的開源語言php中有哪些有用的安全函數。

在php中，有些很有用的函數開源非常友善的防止你的網站遭受各種攻擊，例如sql注入攻擊，xss（crosssitescripting：跨站腳本）攻擊等。一起看看php中常用的、可以確定項目安全的函數。注意，這并不是完整的清單，是我覺得對于你的i項目很有的一些函數。

1.mysql_real_escape_string()

這個函數在php中防止sql注入攻擊時非常有用。這個函數會對一些例如單引号、雙引号、反斜杠等特殊字元添加一個反斜杠以確定在查詢這些資料之前，使用者提供的輸入是幹淨的。但要注意，你是在連接配接資料庫的前提下使用這個函數。

但是現在已經不推薦使用mysql_real_escape_string()了，所有新的應用應該使用像pdo一樣的函數庫執行資料庫操作，也就是說，我們可以使用現成的語句防止sql注入攻擊。

2.addslashes()

這個函數的原理跟mysql_real_escape_string()相似。但是當在php.ini檔案中，“magic_quotes_gpc“的值是“on”的時候，就不要使用這個函數。magic_quotes_gpc的預設值是on，對所有的get、post和cookie資料自動運作addslashes()。不要對已經被magic_quotes_gpc轉義過的字元串使用addslashes()，因為這樣會導緻雙層轉義。你可以使用get_magic_quotes_gpc()函數來确定它是否開啟。

3.htmlentities()

這個函數對于過濾使用者輸入的資料非常有用。它會将一些特殊字元轉換為html實體。例如，使用者輸入<時，就會被該函數轉化為html實體<（<），輸入>就被轉為實體>.(html實體對照表：http://www.w3school.com.cn/html/html_entities.asp)，可以防止xss和sql注入攻擊。

4.htmlspecialchars()

在html中，一些特定字元有特殊的含義，如果要保持字元原來的含義，就應該轉換為html實體。這個函數會傳回轉換後的字元串，例如‘&’(ampersand)轉為’&‘（ps:請參照第三點中的實體對照表連結）

ps:此處原文有誤（見評論），在此非常感謝瑾瑜提出。現已更正，另外附上此函數常見的轉換字元：

thetranslationsperformedare:

‘&’(ampersand)becomes‘&’

‘”‘(doublequote)becomes‘"’whenent_noquotesisnotset.

“‘”(singlequote)becomes‘'’(or')onlywhenent_quotesisset.

‘<’(lessthan)becomes‘<’

‘>’(greaterthan)becomes‘>’

5.strip_tags()

這個函數可以去除字元串中所有的html，javascript和php标簽，當然你也可以通過設定該函數的第二個參數，讓一些特定的标簽出現。

6.md5()

從安全的角度來說，一些開發者在資料庫中存儲簡單的密碼的行為并不值得推薦。md5()函數可以産生給定字元串的32個字元的md5散列，而且這個過程不可逆，即你不能從md5()的結果得到原始字元串。現在這個函數并不被認為是安全的，因為開源的資料庫可以反向檢查一個散列值的明文。你可以在這裡找到一個md5散列資料庫清單

7.sha1()

這個函數與md5()類似，但是它使用了不同的算法來産生40個字元的sha-1散列（md5産生的是32個字元的散列）。也不要把絕對安全寄托在這個函數上，否則會有意想不到的結果。

8.intval()

先别笑，我知道這個函數和安全沒什麼關系。