安满是编程十分重要的一个方面。在任何一种编程言语中，都供给了许多的函数或许模块来保证程序的安全性。在现代网站运用中，常常要获取来自世界各地用户的输入，可是，咱们都知道“永久不能信任那些用户输入的数据”。所以在各种的Web开发言语中，都会供给保证用户输入数据安全的函数。今日，咱们就来看看，在闻名的开源言语PHP中有哪些有用的安全函数。

在PHP中，有些很有用的函数开源十分便利的避免你的网站遭受各种进犯，例如SQL注入进犯，XSS（Cross Site Scripting：跨站脚本）进犯等。一同看看PHP中常用的、能够保证项目安全的函数。留意，这并不是完好的列表，是我觉得关于你的i项目很有的一些函数。

1. mysql_real_escape_string()

这个函数在PHP中避免SQL注入进犯时十分有用。这个函数会对一些例如单引号、双引号、反斜杠等特别字符增加一个反斜杠以保证在查询这些数据之前，用户供给的输入是洁净的。但要留意，你是在衔接数据库的前提下运用这个函数。

可是现在现已不引荐运用mysql_real_escape_string()了，一切新的运用应该运用像PDO相同的函数库履行数据库操作，也就是说，咱们能够运用现成的句子避免SQL注入进犯。

2. addslashes()

这个函数的原理跟mysql_real_escape_string()相似。可是当在php.ini文件中，“magic_quotes_gpc“的值是“on”的时分，就不要运用这个函数。magic_quotes_gpc 的默认值是on，对一切的 GET、POST 和 COOKIE 数据主动运转 addslashes()。不要对现已被 magic_quotes_gpc 转义过的字符串运用 addslashes()，由于这样会导致双层转义。你能够运用get_magic_quotes_gpc()函数来确认它是否敞开。

3. htmlentities()

这个函数关于过滤用户输入的数据十分有用。它会将一些特别字符转化为HTML实体。例如，用户输入<时，就会被该函数转化为HTML实体<（&lt），输入>就被转为实体&gt.(HTML实体对照表：http://www.w3school.com.cn/html/html_entities.asp)，能够避免XSS和SQL注入进犯。

4. htmlspecialchars()

在HTML中，一些特定字符有特别的意义，假如要坚持字符本来的意义，就应该转化为HTML实体。这个函数会回来转化后的字符串，例如‘&’ (ampersand) 转为’&amp‘（ps:请参照第三点中的实体对照表链接）

ps:此处原文有误（见谈论），在此十分感谢瑾瑜提出。现已更正，别的附上此函数常见的转化字符：

The translations performed are:

 ‘&’ (ampersand) becomes ‘&’  ‘”‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set.  “‘” (single quote) becomes ‘'’ (or ') only when ENT_QUOTES is set.  ‘<’ (less than) becomes ‘<’  ‘>’ (greater than) becomes ‘>’

5. strip_tags()

这个函数能够去除字符串中一切的HTML，JavaScript和PHP标签，当然你也能够经过设置该函数的第二个参数，让一些特定的标签呈现。

6. md5()

从安全的视点来说，一些开发者在数据库中存储简略的暗码的行为并不值得引荐。md5()函数能够发生给定字符串的32个字符的md5散列，并且这个进程不可逆，即你不能从md5()的成果得到原始字符串。

现在这个函数并不被认为是安全的，由于开源的数据库能够反向查看一个散列值的明文。你能够在这里找到一个MD5散列数据库列表

7. sha1()

这个函数与md5()相似，可是它运用了不同的算法来发生40个字符的SHA-1散列（md5发生的是32个字符的散列）。也不要把肯定安全寄托在这个函数上，不然会有意想不到的成果。

8. intval()

先别笑，我知道这个函数和安全没什么联系。intval()函数是将变量转成整数类型，你能够用这个函数让你的PHP代码更安全，特别是当你在解析id，年纪这样的数据时。