29、xss filter过滤器
原创
©著作权归作者所有:来自51CTO博客作者web安全工具库的原创作品,请联系作者获取转载授权,否则将追究法律责任
一、htmlspecialchars函数
htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。
<?php
$str="<script>alert(123);</script>";
echo $str;
$str1=htmlspecialchars($str);
echo "\n".$str1;
?>
不转换str,弹出123
转换后str1,原字符输出
二、htmlentities函数
htmlentities() 函数把字符转换为 HTML 实体,有中文输入的建议,建议用htmlspecialchars函数
<?php
$str="<script>alert(123);</script>";
echo $str;
$str1=htmlentities($str);
echo "\n".$str1;
?>
不转换str,弹出123
转换后str1,原字符输出
三、strip_targs函数
strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。
<?php
$str="<script>alert(321);</script>";
echo $str;
$str1=strip_tags($str);
echo "\n".$str1;
?>
不转换str,弹出123
转换后str1,alert(321);
禁止非法,后果自负
欢迎关注公众号:web安全工具库
