> 防网站攻击 **1、XSS(跨页面脚本攻击)** ``` 使用htmlspecialchars 使用第三方包htmlpurifier ``` **2、SQL注入攻击** php5.3之前版本可以用mysql_real_escape_string()函数 新版本中利用pdo的预处理可以有效地防止sql注入 **3、select标签的onchange事件** ``` <select name="fruit" onchange="location.href='{:url('/api/index/test/id/')}'+this.value;"> <option value=''>请选择</option> <option value='1'>西瓜</option> <option value='2'>橙子</option> <option value='3'>苹果</option> </select> ```