php安全之php常用过滤函数详解

为什么要进行php过滤，我们所说过滤就如同安检，像出入境，甚至乘坐地铁都要安检，有时候觉得真的很麻烦，为了安全也是值得的。

主要是为了，防止非法用户，添加恶意的代码，或添加一些特殊代码，轻而易举就获得网站的漏洞和服务器权限。

php过滤用的函数一般用到的有htmlspecialchars，strip_tags
，addslashes(这个在后面会讲到)
htmlspecialchars(string,quotestyle,character-set);
参数一是要转换的字符串，参数二是设置是否要转换单引号，双引号之类的，参数三是字符串编码设置。
本函数将特殊字符转成 HTML 的字符串格式 ( &....; )。最常用到的场合可能就是处理客户留言的留言版了。

& (和) 转成 &
" (双引号) 转成 "
< (小于) 转成 &lt;
> (大于) 转成 &gt;
此函数只转换上面的特殊字符，并不会全部转换成 HTML 所定的 ASCII 转换。

htmlentities()

本函数有点像 htmlspecialchars() 函数，但本函数会将所有 string 的字符都转成 HTML 的特殊字集字符串。不过在转换后阅读网页源代码的方面，会有很多困扰，尤其是对中文字支持不太好，浏览器上看到的还是正常的。

strip_tags()
去掉 HTML 及 PHP 的标记。 语法: string strip_tags(string allow);
string 必需。规定要检查的字符串。
allow 可选。规定允许的标签。这些标签不会被删除。
我试了allow参数只能设置一个标记。