PHP中的XSS预防

可能重复：

---

我需要在PHP代码中防止XSS攻击，有没有什么好的、简单的库呢？

htmlspecialchars（）安全性不是一个产品。这是一个过程

如果你依靠一个图书馆来保证安全，你注定会遭到一次又一次的攻击

---

无论如何，您可以使用标准php函数（即

htmlspecialchars（）

）对输入进行清理谷歌上有很多好的答案，这是我找到的第一个

我的主要建议是考虑每一个输入作为直接攻击。

---

因此，转换为html字符。添加斜杠

有很多PHP函数可以帮助您防止XSS攻击。看看这些：

strip_标签

---

htmlspecialchars

---

好的，我将此添加到将在页面上打印的输入中，这是否可以防止所有XSS攻击或至少大多数攻击？我建议您仔细阅读XSS。你需要了解它是如何工作的来防止它。@newbie不，你没有。或者你不会问这是否会阻止所有XSS攻击我注意到，它也阻止了警报（'XSS攻击测试！'）；因此，它必须做一些事情，使unicode字符无法读取（П=>п；）htmlentities最好从列表中删除。因为这个函数已经过时了，而且脏兮兮的功能太多了，很难跟上PHP中实际可用的功能。嗯，什么？htmlentities是活跃的，并且通常比htmlspecialchars PHP更受欢迎：此项目的当前版本不适合生产使用。