建立一个安全应用网站的原则之一是绝不可相信用户的任何输入，将用户数据输入到文件或者数据库之前，要一直屏蔽此数据或者通过系统执行的命令传输它。下面简要地列出这些常用函数，以作参考：
     • 必须使用函数addslashes0在用户数据进入数据库之前过滤该数据。这个函数过滤掉可能引起数据库问题的字符。可以使用函数stripslashes0将数据返回到它的原始形式。
     • 可以在php.ini配置文件中开启magic_quotes_gpe和magic_quotes_runtime的指令。这些指令将自动地添加和过滤斜杠。maglc_quotes_gpe指令用于格式化GET、POST和cookie变量，而magic_quote_runtime指令用于格式化进出数据库的数据。
     • 当传递用户数据给system()或者exec()时，必须使用函数escapeshellcmd()。该函数可以避免任何怀有恶意的用户输入强迫系统运行某些特定命令的字符。
     • 可以使用函数strip_tags0从一个字符串中去掉HTML和PHP标记。这样可以避免用户将恶惠的脚本植入到用户的数据中（可能会将这些数据显示到浏览器上）。
     • 可以使用函数htmlspecialchars0，该函数将字符转换成它们的HTML等价实体。例如，“<”被将转换成“&It;”，该函数可以将任何脚本标记转换成无害的字符。