防止xss攻击 | htmlspecialchars
处理输出的变量,可防止xss攻击
htmlspecialchars()
防止sql注入 | addslashes
- addslashes 向字符串中预定义字符添加反斜杠
处理拼接到SQL语句上的字符串,可防止存在特殊字符SQL语句报错。
防止sql注入。 - sql语句预编译也可避免SQL注入。PHP中PDO三方库提供的。
(还有说mysql_real_escape_string 也可以的,还没试)
PS:还可以对用户输入的数字强制转换为INT类型,以此类推。。。。