PHP是一種廣泛使用的服務器端腳本語言。在使用PHP開發Web應用程序時，用戶輸入的數據確實是一個必須解決的頭疼問題。本文將重點討論PHP input的安全問題。

假設有如下簡單的表單：

<form method="post" action="register.php">
<label>用戶名:</label>
<input type="text" name="username"><br><br>
<label>密碼:</label>
<input type="password" name="password"><br><br>
<input type="submit" value="注冊">
</form>

當用戶填寫并提交表單時，數據會通過POST方式發送到register.php文件中去。在接收到數據之后，register.php文件會對數據進行處理并返回結果。但是，如果register.php文件沒有對input數據做嚴格的過濾，那么，攻擊者就有可能通過構造惡意數據來破壞應用程序。

例如，攻擊者可以嘗試在用戶名輸入框中輸入一段惡意的SQL語句，如：“' OR '1'='1”，這時候，如果應用程序沒有對輸入的數據過濾，那么該語句可能會被拼接成一條查詢語句：

SELECT * FROM users WHERE username='' OR '1'='1' AND password='';

在輸出數據的時候，應用程序就會把所有用戶的數據都返回，從而導致數據泄露。

為了保證input的安全，我們需要對數據過濾。PHP提供了很多過濾函數，如filter_input()、filter_input_array()等。其中，filter_input()函數用于獲取所需的外部變量，并進行過濾。

下面是使用filter_input()函數實現數據過濾的示例：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);

上面的代碼中，我們使用了FILTER_SANITIZE_STRING過濾器，它可以過濾掉所有不合法的字符，包括HTML標簽。如果我們只允許用戶輸入英文或數字，那么可以使用FILTER_SANITIZE_EMAIL過濾器：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_EMAIL);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);

當然，這里只是一種非常簡單的過濾方式，要實現更高級的數據過濾，需要具備更深入的理解和專業的技能。

在處理input安全時，還有一些其他的方法，比如使用正則表達式匹配、使用第三方庫等。但是，不論使用什么方法，都必須對數據進行過濾，從而避免代碼被SQL注入、XSS等攻擊。

總之，input安全問題是Web應用程序開發必須面對的一個實際問題，開發者必須充分認識到這一點，并采取有效措施保障用戶數據的安全。