不信任表单
不信任用户输入的信息
关闭全局变量
防sql注入
mysql_real_escape_string
addslashes
转义用户输入的内容
防止基本的XSS攻击
1.将html转换为html实体(htmlspecialchars()、htmlentities()、strip_tags()、addslashes())
2.SafeHTML
3.md5等不可逆加密用户敏感信息
htmlspecialcharsl转义的特殊字符集只有5个(&,“,‘,<,>)
htmlentities转义的特殊字符集是完整的HTML字符实体集
strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。
