PHP过滤HTML标签安全处理教程

我个人认为，对于绝大多数需要展示用户输入的情况，htmlspecialchars()几乎是必备的。它能确保你显示的内容不会被浏览器误解为可执行代码。

为什么直接使用 strip_tags() 可能不够安全？

讲真，strip_tags()这个函数，虽然名字听起来很“安全”，但在实际的Web安全场景中，它只能算是一个初级的、甚至是有点粗暴的工具。我的经验是，如果你只是想把所有HTML标签都“一刀切”地移除，让内容变成纯文本，那它还能派上用场。但一旦你希望允许用户输入一部分安全的HTML（比如加粗、斜体），同时又想阻止恶意代码，strip_tags()就显得力不从心了。

它最主要的局限在于：

1. 不处理标签属性： strip_tags()只会移除标签本身，但不会检查标签内部的属性。就像前面例子里展示的，标签的onclick属性，或者标签的onerror属性，这些都是XSS攻击的常见载体，strip_tags()对它们完全无感。

   这段代码经过strip_tags()处理后，标签可能还在（如果你允许），但onerror属性会原封不动地保留下来，一旦浏览器加载失败，恶意脚本就会执行。

2. 对畸形HTML的处理能力有限： HTML的解析非常复杂，浏览器对不规范的HTML有很强的容错能力。strip_tags()是一个简单的字符串匹配和移除过程，它不是一个真正的HTML解析器。这意味着，一些巧妙构造的畸形HTML，可能会绕过strip_tags()的过滤，最终在浏览器中被解析并执行。 例如，一些不完整的标签或者利用注释、CSS表达式等方式，都可能导致意外的行为。
3. 上下文依赖的漏洞： 有时候，即使标签被移除了，恶意内容如果被插入到特定的HTML上下文（比如 world!
   Click Me'; $clean_html = $purifier->purify($dirty_html); echo "原始HTML:\n" . $dirty_html . "\n\n"; echo "净化后HTML:\n" . $clean_html . "\n"; ?>

   运行上述代码，你会看到 Link

   '; $dom = new DOMDocument(); // 抑制HTML解析错误 @$dom->loadHTML($html, LIBXML_HTML_NOIMPLIED | LIBXML_HTML_NODEFDTD); $xpath = new DOMXPath($dom); // 移除所有script标签 foreach ($xpath->query('//script') as $node) { $node->parentNode->removeChild($node); } // 移除所有元素的onclick属性 foreach ($xpath->query('//*[@onclick]') as $node) { $node->removeAttribute('onclick'); } // 进一步可以遍历所有标签，只保留白名单中的标签和属性 $cleanHtml = $dom->saveHTML(); echo $cleanHtml; ?>

   使用DOMDocument来做净化工作，你需要非常小心地定义你的白名单规则，并确保覆盖所有可能的攻击向量。

   总而言之，如果你需要处理用户提交的HTML内容并确保其安全性，我的建议是：优先使用HTML Purifier。它久经考验，提供了最全面的安全保障。只有在极少数极端定制化的场景下，并且你对Web安全和DOM操作有足够的信心时，才考虑自己基于DOMDocument实现净化逻辑。记住，安全无小事，宁可保守，不可冒险。

   以上就是《PHP过滤HTML标签安全处理教程》的详细内容，更多关于php过滤sql注入过滤关健字的资料请关注golang学习网公众号！