一、防止sql注入

// 函数转义 SQL 语句中使用的字符串中的特殊字符。
mysql_real_escape_string();

// 下列字符受影响
1) \x00
2) \n
3) \r
4) \
5) '
6) "
7) \x1a

// 如果成功，则该函数返回被转义的字符串。如果失败，则返回 false


// 把预定义的字符 "<" （小于）和 ">" （大于）转换为 HTML 实体
htmlspecialchars();

// 预定义的字符是：
1) & （和号）成为 &
2) " （双引号）成为 "
3) ' （单引号）成为 '
4) < （小于）成为 <
5) > （大于）成为 >

htmlspecialchars($str,ENT_QUOTES,'UTF-8');  // 编码双引号和单引号

反函数：htmlspecialchars_decode();

其他函数

// 获取当前工作目录，Linux下输出：/home/php；Windows下输出：F:\php
getcwd();

金额保留两位常用方法

sprintf("%.2f", $num);