增強PHP程序安全的函數(shù)

　　安全是編程非常重要的一個方面。在任何一種編程語言中，都提供了許多的函數(shù)或者模塊來確保程序的安全性。在現(xiàn)代網(wǎng)站應(yīng)用中，經(jīng)常要獲取來自世界各地用戶的輸入，但是，我們都知道“永遠不能相信那些用戶輸入的數(shù)據(jù)”。所以在各種的Web開發(fā)語言中，都會提供保證用戶輸入數(shù)據(jù)安全的函數(shù)。以下僅供參考！

　　在PHP中，有些很有用的函數(shù)開源非常方便的防止你的網(wǎng)站遭受各種攻擊，例如SQL注入攻擊，XSS（Cross Site Scripting：跨站腳本）攻擊等。一起看看PHP中常用的、可以確保項目安全的函數(shù)。注意，這并不是完整的列表，是我覺得對于你的i項目很有的一些函數(shù)。

　　1. mysql_real_escape_string()

　　這個函數(shù)在PHP中防止SQL注入攻擊時非常有用。這個函數(shù)會對一些例如單引號、雙引號、反斜杠等特殊字符添加一個反斜杠以確保在查詢這些數(shù)據(jù)之前，用戶提供的輸入是干凈的。但要注意，你是在連接數(shù)據(jù)庫的前提下使用這個函數(shù)。

　　但是現(xiàn)在已經(jīng)不推薦使用mysql_real_escape_string()了，所有新的應(yīng)用應(yīng)該使用像PDO一樣的函數(shù)庫執(zhí)行數(shù)據(jù)庫操作，也就是說，我們可以使用現(xiàn)成的語句防止SQL注入攻擊。

　　2. addslashes()

　　這個函數(shù)的原理跟mysql_real_escape_string()相似。但是當在php.ini文件中，“magic_quotes_gpc“的值是“on”的時候，就不要使用這個函數(shù)。magic_quotes_gpc 的默認值是on，對所有的 GET、POST 和 COOKIE 數(shù)據(jù)自動運行 addslashes()。不要對已經(jīng)被 magic_quotes_gpc 轉(zhuǎn)義過的字符串使用 addslashes()，因為這樣會導(dǎo)致雙層轉(zhuǎn)義。你可以使用get_magic_quotes_gpc()函數(shù)來確定它是否開啟。

　　3. htmlentities()

　　這個函數(shù)對于過濾用戶輸入的數(shù)據(jù)非常有用。它會將一些特殊字符轉(zhuǎn)換為HTML實體。例如，用戶輸入<時，就會被該函數(shù)轉(zhuǎn)化為HTML實體<（<），輸入>就被轉(zhuǎn)為實體&gt.(HTML實體對照表：http://www.w3school.com.cn/html/html_entities.asp)，可以防止XSS和SQL注入攻擊。

　　4. htmlspecialchars()

　　在HTML中，一些特定字符有特殊的含義，如果要保持字符原來的含義，就應(yīng)該轉(zhuǎn)換為HTML實體。這個函數(shù)會返回轉(zhuǎn)換后的字符串，例如‘&’ (ampersand) 轉(zhuǎn)為’&amp‘（ps:請參照第三點中的實體對照表鏈接）

　　ps:此處原文有誤（見評論），在此非常感謝瑾瑜提出。現(xiàn)已更正，另外附上此函數(shù)常見的轉(zhuǎn)換字符：

　　The translations performed are:

　　‘&’ (ampersand) becomes ‘&’

　　‘”‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set.

　　“‘” (single quote) becomes ‘'’ (or &apos;) only when ENT_QUOTES is set.

　　‘<’ (less than) becomes ‘<’

　　‘>’ (greater than) becomes ‘>’

　　5. strip_tags()

　　這個函數(shù)可以去除字符串中所有的HTML，JavaScript和PHP標簽，當然你也可以通過設(shè)置該函數(shù)的第二個參數(shù)，讓一些特定的標簽出現(xiàn)。

　　6. md5()

　　從安全的角度來說，一些開發(fā)者在數(shù)據(jù)庫中存儲簡單的密碼的行為并不值得推薦。md5()函數(shù)可以產(chǎn)生給定字符串的32個字符的md5散列，而且這個過程不可逆，即你不能從md5()的結(jié)果得到原始字符串。

　　現(xiàn)在這個函數(shù)并不被認為是安全的，因為開源的數(shù)據(jù)庫可以反向檢查一個散列值的明文。你可以在這里找到一個MD5散列數(shù)據(jù)庫列表

　　7. sha1()

　　這個函數(shù)與md5()類似，但是它使用了不同的算法來產(chǎn)生40個字符的SHA-1散列（md5產(chǎn)生的是32個字符的散列）。也不要把絕對安全寄托在這個函數(shù)上，否則會有意想不到的結(jié)果。

　　8. intval()

　　先別笑，我知道這個函數(shù)和安全沒什么關(guān)系。intval()函數(shù)是將變量轉(zhuǎn)成整數(shù)類型，你可以用這個函數(shù)讓你的PHP代碼更安全，特別是當你在解析id，年齡這樣的數(shù)據(jù)時。

【增強PHP程序安全的函數(shù)】相關(guān)文章：

PHP類與構(gòu)造函數(shù)07-01

PHP函數(shù)的區(qū)別及用法10-27

PHP內(nèi)部函數(shù)的定義07-04

php數(shù)學常用函數(shù)10-24

PHP常用函數(shù)總結(jié)10-21

PHP基本函數(shù)介紹10-25

PHP常用函數(shù)匯總09-07

PHP數(shù)組函數(shù)知識10-24

PHP函數(shù)知識總結(jié)09-29