http://cxc359170248.blog.163.com/blog/static/115407313201222681435225/
规则 1:绝不要信任外部数据或输入
清单 1. 安全无暇的代码
清单 2. 不安全、有瑕疵的代码
清单 3. 使用户输入变得安全
规则 2:禁用那些使安全性难以实施的PHP设置
规则 3:如果不能理解它,就不能保护它
清单 4. 使代码容易得到保护
规则 4:“纵深防御” 是新的法宝
防止SQL注入攻击
清单 5. 不安全的 PHP 表单处理代码
清单7:展示了带转义处理的代码
原来mysql_escape_real_string和htmlspeicalchars是两回事。
msyql_*系列已经是过时了,相应的应该考虑用PDO
hmtlspecialchars是用于HMTL展示的