owasp php filters介绍以及使用–过滤非法输入PHP函数库

最近在研究关于php安全的问题，无意中看到使用 PHP 构建的 Web 应用如何避免 XSS 攻击，很受启发，尤其是字符集编码、动态内容为JavaScript事件处理函数的参数、动态内容位于 JavaScript 代码段中时的xss攻击，建议大家都看看，今天要介绍的owasp php filters也是从这篇文章中看到的。

首先先介绍下owasp，开放Web应用程序安全性项目(OWASP)501(c)(3)全球非营利慈善组织专注于改进的安全软件。进他们的项目主页，项目好多，关于php也有不少，不过有几个很好的安全项目还没有提供相关类库的下载，想杀人的冲动。。。。

owasp php filters的主页是https://www.owasp.org/index.php/OWASP_PHP_Filters，里面有关于一些安全过滤函数的介绍，

项目下载地址http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=106757

核心文件是sanitize.php，index.php是提供给大家测试安全过滤函数用的，test.php过滤输出结果页。

介绍几个常用的函数：

sanitize_sql_string函数用来过滤sql输入参数，该函数addslashes了下，又去除了;，去除；主要是防止 x’; DROP TABLE members; — 这种攻击。

sanitize_html_string函数用来过滤html的输出，相比htmlspecialchars函数，sanitize_html_string函数过滤了更多的特殊字符，但是感觉还是不是很给力，HTML Purifier才是首选，地址是http://htmlpurifier.org/。

在学习的过程中，我也发现了一些很给力的php自带函数比如filter_var，该函数不仅提供邮箱、ip的验证，还提供了一些安全过滤功能。