8個頗有用的PHP安全函數，你知道幾個？

原文：Useful functions to provide secure PHP application

譯文：有用的PHP安全函數

譯者：dwqs

安全是編程很是重要的一個方面。在任何一種編程語言中，都提供了許多的函數或者模塊來確保程序的安全性。在現代網站應用中，常常要獲取來自世界各地用戶的輸入，可是，咱們都知道「永遠不能相信那些用戶輸入的數據」。因此在各類的Web開發語言中，都會提供保證用戶輸入數據安全的函數。今天，咱們就來看看，在著名的開源語言PHP中有哪些有用的安全函數。

在PHP中，有些頗有用的函數開源很是方便的防止你的網站遭受各類攻擊，例如SQL注入攻擊，XSS（Cross Site Scripting：跨站腳本）攻擊等。一塊兒看看PHP中經常使用的、能夠確保項目安全的函數。注意，這並非完整的列表，是我以爲對於你的i項目頗有的一些函數。

1. mysql_real_escape_string()

這個函數在PHP中防止SQL注入攻擊時很是有用。這個函數會對一些例如單引號、雙引號、反斜槓等特殊字符添加一個反斜槓以確保在查詢這些數據以前，用戶提供的輸入是乾淨的。但要注意，你是在鏈接數據庫的前提下使用這個函數。

可是如今已經不推薦使用mysql_real_escape_string()了，全部新的應用應該使用像PDO同樣的函數庫執行數據庫操做，也就是說，咱們可使用現成的語句防止SQL注入攻擊。

2. addslashes()

這個函數的原理跟mysql_real_escape_string()類似。可是當在php.ini文件中，「magic_quotes_gpc「的值是「on」的時候，就不要使用這個函數。magic_quotes_gpc 的默認值是on，對全部的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes()，由於這樣會致使雙層轉義。你可使用get_magic_quotes_gpc()函數來肯定它是否開啓。

3. htmlentities()

這個函數對於過濾用戶輸入的數據很是有用。它會將一些特殊字符轉換爲HTML實體。例如，用戶輸入<時，就會被該函數轉化爲HTML實體<（&lt），輸入>就被轉爲實體&gt.(HTML實體對照表：http://www.w3school.com.cn/html/html_entities.asp)，能夠防止XSS和SQL注入攻擊。

4. htmlspecialchars()

在HTML中，一些特定字符有特殊的含義，若是要保持字符原來的含義，就應該轉換爲HTML實體。這個函數會返回轉換後的字符串，例如‘&’ (ampersand) 轉爲’&amp‘（ps:請參照第三點中的實體對照表連接）

附上此函數常見的轉換字符：

The translations performed are:

‘&’ (ampersand) becomes ‘&’
‘」‘ (double quote) becomes ‘"’ when ENT_NOQUOTES is not set.
「‘」 (single quote) becomes ‘'’ (or ') only when ENT_QUOTES is set.
‘<’ (less than) becomes ‘&lt;’
‘>’ (greater than) becomes ‘&gt;’

5. strip_tags()

這個函數能夠去除字符串中全部的HTML，JavaScript和PHP標籤，固然你也能夠經過設置該函數的第二個參數，讓一些特定的標籤出現。

6. md5()

從安全的角度來講，一些開發者在數據庫中存儲簡單的密碼的行爲並不值得推薦。md5()函數能夠產生給定字符串的32個字符的md5散列，並且這個過程不可逆，即你不能從md5()的結果獲得原始字符串。

如今這個函數並不被認爲是安全的，由於開源的數據庫能夠反向檢查一個散列值的明文。你能夠在這裏找到一個MD5散列數據庫列表

7. sha1()

這個函數與md5()相似，可是它使用了不一樣的算法來產生40個字符的SHA-1散列（md5產生的是32個字符的散列）。也不要把絕對安全寄託在這個函數上，不然會有意想不到的結果。

8. intval()

先別笑，我知道這個函數和安全沒什麼關係。intval()函數是將變量轉成整數類型，你能夠用這個函數讓你的PHP代碼更安全，特別是當你在解析id，年齡這樣的數據時。

原文首發：http://www.ido321.com/1202.html