PHP防XSS：htmlspecialchars与strip_tags用法详解

本文深入解析了PHP中防御XSS攻击的五大核心实践：从基础的htmlspecialchars安全转义（强调必须显式指定ENT_QUOTES和UTF-8编码）、strip_tags的标签清除局限性，到filter_var的类型化输入净化、按输出上下文精准选择编码方式（HTML文本、JS内联、属性值需不同策略），再到富文本场景下不可或缺的HTMLPurifier白名单过滤方案——层层递进，直击常见误用陷阱（如默认参数调用、忽略属性风险、废弃过滤器滥用），为开发者提供一套既严谨又可落地的全链路XSS防护指南。

如果用户提交的内容未经处理就直接输出到HTML页面，可能导致恶意脚本执行，从而引发XSS攻击。以下是针对该风险的多种过滤方法：

一、使用htmlspecialchars进行上下文安全转义

htmlspecialchars函数将预定义的特殊字符（如、&、"、'）转换为对应的HTML实体，使浏览器仅将其渲染为文本而非可执行代码，适用于所有需在HTML文本节点或属性值中显示用户数据的场景。

1、调用函数时必须显式指定ENT_QUOTES标志，确保单引号和双引号均被转义。

2、必须传入UTF-8字符编码参数，防止因编码不一致导致的多字节截断绕过。

3、避免仅使用默认参数调用，例如htmlspecialchars($input)存在单引号未转义风险，应改为htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, 'UTF-8')。

二、使用strip_tags移除HTML与PHP标签

strip_tags函数直接剥离字符串中的HTML和PHP起始与结束标签，适用于明确禁止任何标记的输入字段，如用户名、标题、简介等纯文本内容。

1、对完整输入调用strip_tags($input)，可清除所有标签并保留原始文本内容。

2、若需允许部分安全标签（如

、），可传入第二个参数指定白名单，例如strip_tags($input, '

')