文章目录

• 一、什么是xss攻击
• 二、攻击类型
• 三、php相关处理函数
• • 1、htmlspecialchars 函数
  • 2、htmlentities 函数
  • 3、strip_tags 函数

一、什么是xss攻击

xss攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括php、VBScript、ActiveX、 Flash 或者甚至是普通的HTML。

二、攻击类型

• 存储型： 最直接的危害类型，跨站代码存储在服务器（数据库）。
  

• 反射型： 反射型跨站脚本漏洞，最普遍的类型。

• DOM型： DOM（document object model文档对象模型），客户端脚本处理逻辑导致的安全问题。

三、php相关处理函数

1、htmlspecialchars 函数

将特殊字符转换为 HTML 实体

语法：

htmlspecialchars(string $string,int $flags = ENT_QUOTES | ENT_SUBSTITUTE | ENT_HTML401,?string $encoding = null,bool $double_encode = true
): string选项参数：string：待转换的字符串。

其他参数通常不需要，要用时可参考：htmlspecialchars 函数

字符替换变化：

2、htmlentities 函数

本函数各方面都和 htmlspecialchars() 一样，除了 htmlentities() 会转换所有具有 HTML 实体的字符。

语法：

htmlentities(string $string,int $flags = ENT_QUOTES | ENT_SUBSTITUTE | ENT_HTML401,?string $encoding = null,bool $double_encode = true
): string选项参数：string：待转换的字符串。

其他参数通常不需要，要用时可参考：htmlentities 函数

3、strip_tags 函数

从字符串中去除 HTML 和 PHP 标签

语法：

strip_tags(string $string, array|string|null $allowed_tags = null): string选项参数：string：输入字符串。allowed_tags：使用可选的第二个参数指定不被去除的标签列表。要么是 string，要么自 PHP 7.4.0 起是 array。

具体可参考：strip_tags 函数