PHP是怎么做安全处理的，比如SQL注入，xss,crsf --

SQL注入：
htmlspecialchars_decode() 把一些预定义的HTML实体转换为字符。
htmlspecialchars()把一些预定义字符串转换为HTML实体。
strip_tags()剥去字符串的HTML和php标签。

XSS：
htmlspecialchars()
strip_tags()

csrf:
使用token
http_only
使用referer验证，只能使用原来的网址进行验证