sql注入防御

  echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号

  $username= mysql_real_escape_string($username);

最好两者结合使用!
再有！ <b>一定要预处理，一定要预处理，一定要预处理！</b>

xss攻击防御

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。

目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单更加简单和有效。

一种白名单解决方案就是SafeHTML，它足够智能能够识别有效的HTML，然后就可以去除任何危险的标签。这个需要基于HTMLSax包来进行解析。

安装使用SafeHTML的方法：
1、前往 SafeHTML 下载最新的SafeHTML
2、将文件放入服务器的classes 目录，这个目录包含所有的SafeHTML和HTMLSax库
3、在自己的脚本中包含SafeHTML类文件
4、建立一个SafeHTML对象
5、使用parse方法进行过滤

<?php /* If you're storing the HTMLSax3.php in the /classes directory, along with the safehtml.php script, define XML_HTMLSAX3 as a null string. */ define(XML_HTMLSAX3, ''); // Include the class file. require_once('classes/safehtml.php'); // Define some sample bad code. $data = "This data would raise an alert <script>alert('XSS Attack')</script>"; // Create a safehtml object. $safehtml = new safehtml(); // Parse and sanitize the data. $safe_data = $safehtml->parse($data); // Display result. echo 'The sanitized data is <br />' . $safe_data; ?>

SafeHTML并不能完全防止XSS攻击，只是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据
单向hash加密保证对每个用户的密码都是唯一的，而且不能被破译的，只有最终用户知道密码，系统也是不知道原始密码的。这样的一个好处是在系统被攻击后攻击者也无法知道原始密码数据。

加密和Hash是不同的两个过程。与加密不同，Hash是无法被解密的，是单向的；同时两个不同的字符串可能会得到同一个hash值，并不能保证hash值的唯一性。

MD5函数处理过的hash值基本不能被破解，但是总是有可能性的，而且网上也有MD5的hash字典。

使用mcrypt加密数据
MD5 hash函数可以在可读的表单中显示数据，但是对于存储用户的信用卡信息的时候，需要进行加密处理后存储，并且需要之后进行解密。
最好的方法是使用mcrypt模块，这个模块包含了超过30中加密方式来保证只有加密者才能解密数据。

<?php $data = "Stuff you want encrypted"; $key = "Secret passphrase used to encrypt your data"; $cipher = "MCRYPT_SERPENT_256"; $mode = "MCRYPT_MODE_CBC"; function encrypt($data, $key, $cipher, $mode) { // Encrypt data return (string) base64_encode ( mcrypt_encrypt ( $cipher, substr(md5($key),0,mcrypt_get_key_size($cipher, $mode)), $data, $mode, substr(md5($key),0,mcrypt_get_block_size($cipher, $mode)) ) ); } function decrypt($data, $key, $cipher, $mode) { // Decrypt data return (string) mcrypt_decrypt ( $cipher, substr(md5($key),0,mcrypt_get_key_size($cipher, $mode)), base64_decode($data), $mode, substr(md5($key),0,mcrypt_get_block_size($cipher, $mode)) ); } ?>

mcrypt函数需要以下信息：

1、待加密数据

2、用来加密和解密数据的key
3、用户选择的加密数据的特定算法（cipher：如 MCRYPT_TWOFISH192,MCRYPT_SERPENT_256， MCRYPT_RC2, MCRYPT_DES, and MCRYPT_LOKI97）
4、用来加密的模式
5、加密的种子，用来起始加密过程的数据，是一个额外的二进制数据用来初始化加密算法
6、加密key和种子的长度，使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取

如果数据和key都被盗取，那么攻击者可以遍历ciphers寻找开行的方式即可，因此我们需要将加密的key进行MD5一次后保证安全性。同时由于mcrypt函数返回的加密数据是一个二进制数据，这样保存到数据库字段中会引起其他错误，使用了base64encode将这些数据转换为了十六进制数方便保存。