正则表达式但使用PHP内置是更完美这些包含可能性要比你自已写代码出错可能性要低得多而且在过滤逻辑中个几乎就意味着个安全漏洞
1.3.4. 输出转义
       另外个Web应用安全基础是对输出进行转义或对特殊进行编码以保证原意不变例如O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly单引号前反斜杠代表单引号是数据本身部分而不是并不是它本义
       我所指输出转义具体分为 3步:
l        识别输出
l        输出转义
l        区分已转义和未转义数据

      只对已过滤数据进行转义是很有必要尽管转义能防止很多常见安全漏洞但它不能替代输入过滤被污染数据必须首先过滤然后转义
      在对输出进行转义时你必须先识别输出通常这要比识别输入简单得多它依赖于你所进行动作例如识别到客户端输出时你可以在代码中查找下列语句:

echo
pr
prf
<?=

       作为项应用开发者你必须知道每个向外部系统输出地方它们构成了输出
       象过滤样转义过程在依情形区别而区别过滤对于区别类型数据处理思路方法也是区别转义也是根据你传输信息到区别系统而采用区别思路方法
       对于些常见输出目标(包括客户端、数据库和URL)转义PHP中有内置可用如果你要写个自己算法做到万无失很重要需要找到在外系统中特殊可靠和完整列表以及它们表示方式这样数据是被保留下来而不是转译了
       最常见输出目标是客户机使用=t_tag _disibledevent="_blank">基础