1. PHP入侵檢測系統 PHP IDS(即PHP-入侵檢測系統)是一套易于使用、結構良好、速度出色且專門面向PHP類Web應用程序的先進安全層。這套入侵檢測系統既不提供任何緩和及殺毒機制，也不會對惡意輸入內容進行過濾，其作用單純為識別出攻擊者們針對站點進行的惡意活動、并以大家需要的方式作出及時提醒。憑借著一整套經過實踐檢驗及相當嚴格的過濾規則，該檢測系統會針對任何攻擊活動給出一個影響評級數值，從而幫助用戶更輕松地了解應如何應對當前出現的黑客攻擊。具體應對方式多種多樣，包括簡單將日志紀錄通過緊急郵件發送給開發團隊、顯示關于攻擊者的警告消息甚至立即中止用戶的當前會話。 2. PHP Password Lib PHP-PasswordLib旨在構建起一套包羅萬象的密碼庫，將所有加密需求的應對手段囊括于其中。它易于安裝且易于使用，具備可擴展能力、極為強大，完全能夠滿足經驗最為老到的開發人員的挑剔眼光。 3. PHPSecLib phpseclib的設計目標在于實現極強的兼容效果。其運行在PHP4+(若使用PHP_Compat則要求PHP4)基礎之上，且無需任何其它擴展。對于重視速度表現的用戶而言，也可以配合使用mcrypt、gmp以及bcmath(按順序)，但三者并非必需。 4.TCrypto TCrypto是一套簡單且極具靈活性的PHP 5.3+內存內鍵-值存儲庫。在默認情況下，其利用cookie作為存儲后端。TCrypto在構建之初就將安全性充分考慮在其中。安全算法與模式一應俱全、自動化與安全初始化向量生成能力兼備、加密與認證密鑰創建(Keytoll)擁有極強的隨機特性、并有密鑰轉換(即版本化密鑰)作為輔助。TCrypto能夠作為一套可擴展性“會話處理程序”使用。特別是在利用cookie作為存儲后端時，其可擴展能力將更為突出。從這方面出發，TCrypto與Ruby on Rails會話頗有幾分相似。 5. HTML Purifier HTML Purifier是一套利用PHP語言編寫的標準化HTML過濾庫。HTML Purifier不僅能夠將通過一套經過全面審計的安全許可白名單清除全部惡意代碼(俗稱XSS)，還能夠確保用戶的文件符合標準要求——有了它的幫助，滿足W3C規范將不再是難題。 6. URLcrypt URLcrypt能夠輕松安全地將簡短二進制數據片段傳送至URL當中。利用它，我們能夠以安全方式保存用戶ID、下載到期日期以及其它一些常見信息。URLcrypt采用256位AES對稱加密機制以實現數據安全加密，其編碼與解碼庫包含32個字符，且能夠被直接應用在URL當中。 7. Hybrid Auth Hybrid Auth是一套開源PHP庫，用于對多種社交服務及ID供應方進行驗證。這其支持的服務類型包括OpenID、Facebook、領英、谷歌、Twitter、Windows Live、Foursquare、Vimeo、雅虎以及PayPal等等。用戶可以通過向登錄/登入頁面插入單一文件或者幾行代碼的方式輕松將其與現有網站相整合。 8. 安全檢查 – Sensiolabs 這款工具對于新手以及經驗老到的PHP編程人員都極具實際意義。它的運作原理非常簡單，用戶只需要將自己的.lock文件進行上傳，其它的工作就可全部交給Sensiolabs來完成。如果大家認真查看數據統計，就會意識到由其發現的漏洞數量有多么龐大。我們很可能在不知不覺間讓自己的項目輸出大量惡意內容，而Sensiolabs的出現則足以幫助我們以更為積極的方式防患于未然。 9. PHP Login Project PHP Login Project是一套腳本，旨在將驗證機制加入到我們的PHP項目當中。網絡上存在大量相關教程，能夠引導大家將其安裝在不同配置類型的服務器之上，同時提供該腳本的最小化以及單一文件版本。 10. SecurityMultiTool 這套MultiTool庫能夠為大家推薦適合的安全相關庫、標準化安全防御實現以及常見任務安全執行實現方案。這套庫的創建目標在于既提供一款實用笥工具，又能夠作為目標實現的參考性資料。無論大家的應用程序是否基于Web應用框架，我們都應該將SecurityMultiTool納入其中——畢竟單靠Web應用程序架構還遠遠無法實現安全保障。