另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码，以保证原意不变。例如，O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分，而不是并不是它的本义。

我所指的输出转义具体分为三步：

• 识别输出
•  输出转义
• 区分已转义与未转义数据

只对已过滤数据进行转义是很有必要的。尽管转义能防止很多常见安全漏洞，但它不能替代输入过滤。被污染数据必须首先过滤然后转义。

在对输出进行转义时，你必须先识别输出。通常，这要比识别输入简单得多，因为它依赖于你所进行的动作。例如，识别到客户端的输出时，你可以在代码中查找下列语句：

• echo
• print
• printf
• <?=

作为一项应用的开发者，你必须知道每一个向外部系统输出的地方。它们构成了输出。

象过滤一样，转义过程在依情形的不同而不同。过滤对于不同类型的数据处理方法也是不同的，转义也是根据你传输信息到不同的系统而采用不同的方法。

对于一些常见的输出目标（包括客户端、数据库和URL）的转义，PHP中有内置函数可用。如果你要写一个自己算法，做到万无一失很重要。需要找到在外系统中特殊字符的可靠和完整的列表，以及它们的表示方式，这样数据是被保留下来而不是转译了。

最常见的输出目标是客户机，使用htmlentities( )在数据发出前进行转义是最好的方法。与其它字符串函数一样，它输入是一个字符串，对其进行加工后进行输出。但是使用htmlentities( )函数的最佳方式是指定它的两个可选参数：引号的转义方式（第二参数）及字符集（第三参数）。引号的转义方式应该指定为ENT_QUOTES，它的目的是同时转义单引号和双引号，这样做是最彻底的，字符集参数必须与该页面所使用的字符集相必配。

为了区分数据是否已转义，我还是建议定义一个命名机制。对于输出到客户机的转义数据，我使用$html数组进行存储，该数据首先初始化成一个空数组，对所有已过滤和已转义数据进行保存。

htmlspecialchars( )函数与htmlentities( )函数基本相同，它们的参数定义完全相同，只不过是htmlentities( )的转义更为彻底。

通过$html['username']把username输出到客户端，你就可以确保其中的特殊字符不会被浏览器所错误解释。如果username只包含字母和数字的话，实际上转义是没有必要的，但是这体现了深度防范的原则。转义任何的输出是一个非常好的习惯，它可以戏剧性地提高你的软件的安全性。

另外一个常见的输出目标是数据库。如果可能的话，你需要对SQL语句中的数据使用PHP内建函数进行转义。对于MySQL用户，最好的转义函数是mysql_real_escape_string( )。如果你使用的数据库没有PHP内建转义函数可用的话，addslashes( )是最后的选择。

下面的例子说明了对于MySQL数据库的正确的转义技巧：

延伸阅读

此文章所在专题列表如下：

1. PHP安全编程：register_globals的安全性
2. PHP安全编程：不要让不相关的人看到报错信息
3. PHP安全编程：网站安全设计的一些原则
4. PHP安全编程：可用性与数据跟踪
5. PHP安全编程：过滤用户输入
6. PHP安全编程：对输出要进行转义
7. PHP安全编程：表单与数据安全
8. PHP安全编程：从URL的语义进行攻击
9. PHP安全编程：文件上传攻击的防御
10. PHP安全编程：跨站脚本攻击的防御
11. PHP安全编程：跨站请求伪造CSRF的防御
12. PHP安全编程：关于表单欺骗提交
13. PHP安全编程：HTTP请求欺骗
14. PHP安全编程：不要暴露数据库访问权限
15. PHP安全编程：防止SQL注入
16. PHP安全编程：cookie暴露导致session被劫持
17. PHP安全编程：session固定获取合法会话
18. PHP安全编程：session劫持的防御
19. PHP安全编程：防止源代码的暴露
20. PHP安全编程：留心后门URL
21. PHP安全编程：阻止文件名被操纵
22. PHP安全编程：文件包含的代码注入攻击
23. PHP安全编程：文件目录猜测漏洞
24. PHP安全编程：打开远程文件的风险
25. PHP安全编程：shell命令注入
26. PHP安全编程：暴力破解攻击
27. PHP安全编程：密码嗅探与重播攻击
28. PHP安全编程：记住登录状态的安全做法
29. PHP安全编程：共享主机的源码安全
30. PHP安全编程：更优的会话数据安全
31. PHP安全编程：会话数据注入
32. PHP安全编程：主机文件目录浏览
33. PHP安全编程：PHP的安全模式