Php Javascript在url中删除alert（）脚本，然后再执行

我正在使用PHP。我正试图阻止我的页面上出现一些XS。我正在运行的一个测试在url参数中包含以下内容：

www.mypage.com?error=<script>alert(11170579)</script>&foo=one&bar=two

www.mypage.com？error=alert（11170579）&foo=one&bar=two

error=…

参数不是来自表单输入。它只是插入到url中

如何使用Javascript转义/解码标记，使alert（）不执行？我确实在url中找到了几个解析param值的示例，但没有一个提到如何防止或更改代码，使其无法运行

感谢您的帮助。

看看PHP的函数。这似乎就是你想要的：

<?php
    echo htmlspecialchars($_GET['error']);
?>

我发现OWASP对于这些主题仍然是一个很好的资源：要明确，不要相信任何人。请咨询安全专家，而不是互联网上的陌生人。很明显，从你的提问中，你没有充分理解你试图解决的问题。你从完全错误的角度看待这个问题。解决方案不是安全地执行代码（通过“逃避”不需要的东西），解决方案是首先不将用户输入作为代码执行。默认情况下，没有一个web浏览器会像那样执行键入URL中的JavaScript代码。你正在这样做。不要这样做。首先，你不应该把脚本作为一个参数…@SingleBatteur-如果不这样做，他应该如何测试他对XSS的防御能力？