PHP是个伟大的web开发语言，灵活的语言，但是看到php程序员周而复始的犯的一些错误。我做了下面这个列表，列出了PHP程序员经常犯的10中错误，大多数和安全相关。看看你犯了几种
　1.不转意html entities

　　一个基本的常识：所有不可信任的输入(特别是用户从form中提交的数据) ，输出之前都要转意。

　　echo $_GET[usename] ;

　　这个例子有可能输出：

　　如何修复 ：

　　我们需要将”< ",">“,”and” 等转换成正确的HTML表示(< , >‘, and “)，函数htmlspecialchars 和 htmlentities()正是干这个活的。

　　正确的方法：

　　echo htmlspecialchars($_GET[username], ENT_QUOTES);

　2. 不转意SQL输入

　　我曾经在一篇文章中最简单的防止sql注入的方法(php+mysql中)讨论过这个问题并给出了一个简单的方法。有人对我说，他们已经在php.ini中将magic_quotes设置为On，所以不必担心这个问题，但是不是所有的输入都是从$_GET, $_POST或 $_COOKIE中的得到的!

　　如何修复：

　　和在最简单的防止sql注入的方法(php+mysql中)中一样我还是推荐使用mysql_real_escape_string()函数

　　正确做法：