最近在研究php的安全性語法，先前開發的網站，都沒有遇到惡意的攻擊，算是我運氣好。

兩個大的災情是XSS(跨站攻擊)和SQL injection(SQL注入語法攻擊)，目前找到可以過慮XSS攻擊的語法，但是在SQL Injection攻擊，也有看到，但是操作起來很複雜。

看到網路上很多人公開相關的元件和組合包，我這裡就介紹一下。
1.HTML  Purifier
這套工具不僅將消除所有的惡意程式代碼（比如說 XSS攻擊代碼），從頭到尾的仔細查核，也可以設定寬容的安全白名單，在符合W3C標準的條件下，可以確保您的文件安全性。
2.HTML Sanitizer
這是一個可以移除惡意標籤的程式類別(Class)，我裝起來試用了，還不錯用，可以拿來處理一一下可能潛藏危險的資料。
3.htmLawed
也是針對XSS攻擊防護的一套處理工具，有線上測試，用起來不錯用，但是沒有看到這套工具對SQL injection的防護。
4.Secure PHP HTML parser and filter
可以處理XSS，也可以處理跨站請求偽造(cross-site request forgery CSRF,XSRF)，看起來功能不錯用檔案也才47K，單檔就可以執行。

看了一下運作原理
大部份的程式，和我認真的觀念相似
也有一些地方寫的不錯，值的參考

HTML Sanitizer

精選文章