php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别

原文地址:http://www.manongjc.com/article/1103.html

先来看一下htmlspecialchars函数和strip_tags函数的使用实例:

 

[php] view plain copy

  1. $str="码农教程'\"";  
  2. echo htmlspecialchars($str);  
  3. echo "

    "
    ;  
  4. echo strip_tags($str);  
  5. ?>  

浏览器输出如下结果:

 

[html] view plain copy

  1. <a href='http://www.manongjc.com'>码农教程'"a>  
  2.   
  3. 码农教程'"  

查看页面源码,结果如下:

 

[html] view plain copy

  1. <a href='http://www.manongjc.com'>码农教程'"a><br/><br/>码农教程'"  


从结果可以看出htmlspecialchars() strip_tags的区别如下:

区别一:

strip_tags函数使用来去除HTML标签的,而htmlspecialchars并没有去除html标签,只是把标签转换为HTML实例,所以二者之间最大的区别是一个是删除掉HTML标签,一个是将html标签转换为其他字符。

 

区别二:

如果需要去除HTML标签的字符串里面的标签原来就有错,例如少了大于的符号,在使用strip_tags函数会传回错误,而htmlspecialchars不会有错误出现,依然后转换为HTML实体。

 

区别三:

在防止XSS攻击时,一般建议使用htmlspecialchars函数,因为strip_tags虽然可以删除HTML标签,但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'

在表单提交或用户留言板里,如果你希望数据原始输出带浏览器,那么请使用htmlspecialchars函数,不要使用strip_tags函数。

参考阅读:

http://www.manongjc.com/article/1213.html

http://www.manongjc.com/article/1099.html

http://www.manongjc.com/article/795.html

补充:


 

1,不保留任何HTML标签
 

复制代码代码示例:

echo strip_tags($str);  

2,只保留

一个标签的话,只需要将

字符串写到strip_tags的第二个参数中。
 

复制代码代码示例:

echo strip_tags($str, "

");  

3,要保留

…多个标签,只需要将多个标签用空格分隔后写到strip_tags的第二个参数中。
 

复制代码代码示例:

echo strip_tags($str, "

");

4,保留所有标签,仅仅转义用addslashes(), stripslashes(), htmlspecialchars(), htmlentities(), nl2br() 等函数.

 addslashes(), stripslashes() 一般是入数据库和出库的时候使用,以免变量中存储类似引号这些关键词,这样的话,本来是内容的部分却被数据库识别为标识符来执行,就会引起错误.

 htmlspecialchars() 函数只用来转义少量HTML, &,双引号,大于号和小于号.并不会全部转换成 HTML 所定的 ASCII 转换

 htmlentities() 本函数有点像 htmlspecialchars() 函数,但本函数会将所有 string 的字符都转成 HTML 的特殊字集字符串。
 不过在转换后,阅读网页源代码时,尤其是网页源代码的中文字,在浏览时会显示不正常,这点要注意下。

你可能感兴趣的:(PHP)