htmlspecialchars

htmlspecialchars是PHP提供的一个函数,它的功能是将特殊字符转换为HTML实体,以防止XSS攻击。它的语法如下:

string:要转换的字符串;flags:可选参数,用于指定特殊字符的转换方式,可以使用ENT_QUOTES、ENT_HTML401、ENT_XML1、ENT_XHTML或ENT_COMPAT;encoding:可选参数,指定字符编码;double_encode:可选参数,如果设为false,则会忽略已经转义的字符,默认为true。

下面是一个示例:

输出结果:<script>alert('xss')</script>

htmlentities

htmlentities也是一个PHP提供的函数,它的功能是将所有可见字符转换为HTML实体,以防止XSS攻击。它的语法如下:

string:要转换的字符串;flags:可选参数,用于指定特殊字符的转换方式,可以使用ENT_QUOTES、ENT_HTML401、ENT_XML1、ENT_XHTML或ENT_COMPAT;encoding:可选参数,指定字符编码;double_encode:可选参数,如果设为false,则会忽略已经转义的字符,默认为true。

下面是一个示例:

输出结果:&lt;script&gt;alert('xss')&lt;/script&gt;

strip_tags

strip_tags是PHP提供的一个函数,它的功能是过滤掉HTML和PHP标签,以防止XSS攻击。它的语法如下:

string:要过滤的字符串;allowable_tags:可选参数,用于指定要保留的标签,默认为空。

下面是一个示例:

输出结果:alert('xss')