身份验证试图证明某人的确是他本人。有许多可以提供身份验证的方法，但是与大多数安全措施一样，方法越安全，使用起来就越麻烦。

    身份验证技术包括密码、数字签名、生物鉴定措施，以及涉及硬件的措施。在网络上，只有两种技术是经常使用的：密码和数字签名。

    生物鉴定措施和大多数硬件解决办法都包含了特殊的输入设备，因此限定授权用户必须到指定的机器上基础这些设备。这对于要访问某个组织的内部系统来说，它是可以接受的，甚至是令人满意的，但是它会丧失让一个系统在网络上得到广泛应用的许多好处。

幸运的是，验证用户只是一个非常常见的认为，因此HTTP内置有身份证验证功能。脚本或Web服务器可以通过Web浏览器请求身份验证。Web浏览器负责显示一个对话框或类似设备，从而从用户那里获得所需的信息。
      
       尽管Web服务器对每个用户请求都要求新的身份验证详细信息，但Web浏览器不必在每页中都要求用户输入详细信息。通常，浏览器可以保存这些详细信息，只要用户打开一个浏览器窗口，它就会自动地将这些所需的详细信息重新发送到Web服务器而无须用户介入。
       
        HTTP这个特性叫做基本身份验证。使用PHP或者内置于Web服务器中的机制，可以触发这些基本身份验证。接下来，我们将讨论PHP方法、Apache方法。
 
       基本身份验证以普通文本方式传输用户名和密码，因此不太安全。HTTP1.1中包含一种更安全的方法，称为摘要身份验证。摘要身份验证使用哈希算法（通常是MD5）掩饰事务处理的细节。摘要身份验证被许多Web服务器和大多数Web浏览器的最新版本所支持。然而，目前还有许多正在使用的浏览器早期版本不支持摘要身份验证，而且微软的某些IE和IIS版本所包含摘要验证标准的版本与非Microsoft产品并不兼容。
       
       除了对Web浏览器的支持较差之外，摘要身份验证也不很安全。基本身份验证和摘要身份验证都只能提供低级别的安全。它们都不能保证用户正在处理的机器就是他要访问的及其。它们都可能允许入侵者向服务器重复发送同一请求。因为基本身份验证以普通文本的方式传输用户密码，这就使入侵者能够捕获这些信息包，并冒充该用户发送任何其他的请求。
      
       基本身份验证提供的安全级别与人们常用的通过Telnet或FTP连接机器一样，都是以普通文本方式传输密码的。摘要身份验证更安全一些，在传输密码之前将对密码进行加密。
      
       当将SSL和数字证书结合起来实现基本的身份验证时，所有Web事务处理都可以得到全面的保护。但是对于许多情况来说，一个速度快但是相对不安全的方法却是合适的方法。例如，基本身份验证。
      
       基本身份验证只能保护特定的领域，并且要求用户提供有效用户名和密码。指定领域是因为同一服务器上可以有多个这样的领域。同一台服务器上的不同文件和目录可以成为不同领域的一部分，每个领域由一组不同的用户名和密码来保护。指定领域也允许将一台主机或一台虚拟主机上的多个目录指定为一个领域，并用一个密码来保护它们。

一个有效的XML文档，必须遵守由W3C指定的特定的标准，特别是要“格式良好”。换句话说，要是我们的XML文档有效，必须符合以下的条件：

一、只有一个根元素，该元素包含了除文档声明以外的所有其他内容，它用于处理说明和注释。

二、所有的开始标记都有结束标记与之匹配（或者是使用一种用正斜杠符合来终止元素的简单写作语法）。

三、嵌套表格要正确，以便将元素完全包含在内。也就是说，当元素师其他元素的子元素时不能打开它，而且不能再关闭子元素之前先关闭父元素。

四、只包含有效字符。必须避免所有无效内容，或者用正确等价实体来代替，例如用&来代替&。

要最小化SQL注入攻击的风险，最后一步需要在PHP脚本中加入表单验证。查看截屏图文件类型或截屏图文件大小是否在应用定义的限制范围内之前，需要检查表单域来确保它们非空。我们编程的时候代码本身没有任何问题，不过要保证一个应用的安全，这样一个调用通常远远不够。由于表单域需要一个数字，所以合理的做法是不只是检查值非空，还要检查这是一个数字值。

PHP  is_numeric()函数就可以完成这个工作，如果传入的值是一个数字则返回true，否则返回false。坚持一贯地做这种小工作，比如需要一个数字时就检查它是否是一个数字，最后会让你的应用尽可能安全而免受数据攻击。