在PHP中，有些很有用的函式開源非常方便的防止你的網站遭受各種攻擊，例如SQL注入攻擊，XSS（Cross Site Scripting：跨站指令碼）攻擊等。

1. mysql_real_escape_string()

這個函式在PHP中防止SQL注入攻擊時非常有用。這個函式會對一些例如單引號、雙引號、反斜槓等特殊字元新增一個反斜槓以確保在查詢這些資料之前，使用者提供的輸入是乾淨的。但要注意，你是在連線資料庫的前提下使用這個函式。

但是現在已經不推薦使用mysql_real_escape_string()了，所有新的應用應該使用像PDO一樣的函式庫執行資料庫操作，也就是說，我們可以使用現成的語句防止SQL注入攻擊。

2. addslashes()

這個函式的原理跟mysql_real_escape_string()相似。但是當在php.ini檔案中，“magic_quotes_gpc“的值是“on”的時候，就不要使用這個函式。magic_quotes_gpc 的預設值是on，對所有的 GET、POST 和 COOKIE 資料自動執行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes()，因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函式來確定它是否開啟。

3. htmlentities()

這個函式對於過濾使用者輸入的資料非常有用。它會將一些特殊字元轉換為HTML實體。例如，使用者輸入<時，就會被該函式轉化為HTML實體<（&lt），輸入>就被轉為實體&gt.(HTML實體對照表：

4. htmlspecialchars()

在HTML中，一些特定字元有特殊的含義，如果要保持字元原來的含義，就應該轉換為HTML實體。這個函式會返回轉換後的字串，例如‘&’ (ampersand) 轉為’&amp‘（ps:請參照第三點中的實體對照表連結）

附上此函式常見的轉換字元：

The translations performed are:

‘&’ (ampersand) becomes ‘&’
‘”‘ (double quote) becomes ‘"’ when
 
 ENT_NOQUOTES is not set.
“‘” (single quote) becomes ‘'’ (or ') only when ENT_QUOTES is set.
‘<’ (less than) becomes ‘&lt;’
‘>’ (greater than) becomes ‘&gt;’

5. strip_tags()

這個函式可以去除字串中所有的HTML，JavaScript和PHP標籤，當然你也可以通過設定該函式的第二個引數，讓一些特定的標籤出現。

6. md5()

從安全的角度來說，一些開發者在資料庫中儲存簡單的密碼的行為並不值得推薦。md5()函式可以產生給定字串的32個字元的md5雜湊，而且這個過程不可逆，即你不能從md5()的結果得到原始字串。

現在這個函式並不被認為是安全的，因為開源的資料庫可以反向檢查一個雜湊值的明文。你可以在這裡找到一個MD5雜湊資料庫列表

7. sha1()

這個函式與md5()類似，但是它使用了不同的演算法來產生40個字元的SHA-1雜湊（md5產生的是32個字元的雜湊）。也不要把絕對安全寄託在這個函式上，否則會有意想不到的結果。

8. intval()

intval()函式是將變數轉成整數型別，你可以用這個函式讓你的PHP程式碼更安全，特別是當你在解析id，年齡這樣的資料時。