php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别

原文地址：http://www.manongjc.com/article/1103.html

先来看一下htmlspecialchars函数和strip_tags函数的使用实例：

 

[php] view plain copy

2. $str="码农教程'\"";  
3. echo htmlspecialchars($str);  
4. echo "
   
   ";  
5. echo strip_tags($str);  
6. ?>  

浏览器输出如下结果：

 

[html] view plain copy

1. <a href='http://www.manongjc.com'>码农教程'"a>  
2.   
3. 码农教程'"  

查看页面源码，结果如下：

 

[html] view plain copy

1. <a href='http://www.manongjc.com'>码农教程'"a><br/><br/>码农教程'"  

从结果可以看出htmlspecialchars() 和strip_tags的区别如下：

区别一：

strip_tags函数使用来去除HTML标签的，而htmlspecialchars并没有去除html标签，只是把标签转换为HTML实例，所以二者之间最大的区别是一个是删除掉HTML标签，一个是将html标签转换为其他字符。

 

区别二：

如果需要去除HTML标签的字符串里面的标签原来就有错，例如少了大于的符号，在使用strip_tags函数会传回错误，而htmlspecialchars不会有错误出现，依然后转换为HTML实体。

 

区别三：

在防止XSS攻击时，一般建议使用htmlspecialchars函数，因为strip_tags虽然可以删除HTML标签，但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'

在表单提交或用户留言板里，如果你希望数据原始输出带浏览器，那么请使用htmlspecialchars函数，不要使用strip_tags函数。

参考阅读：

http://www.manongjc.com/article/1213.html

http://www.manongjc.com/article/1099.html

http://www.manongjc.com/article/795.html

补充：

 

1，不保留任何HTML标签
 

复制代码代码示例:

echo strip_tags($str);  

2，只保留

一个标签的话，只需要将

字符串写到strip_tags的第二个参数中。
 

复制代码代码示例:

echo strip_tags($str, "

");  

3，要保留

与…多个标签，只需要将多个标签用空格分隔后写到strip_tags的第二个参数中。
 

复制代码代码示例:

echo strip_tags($str, "

");

4，保留所有标签，仅仅转义用addslashes(), stripslashes(), htmlspecialchars(), htmlentities(), nl2br() 等函数.

 addslashes(), stripslashes() 一般是入数据库和出库的时候使用,以免变量中存储类似引号这些关键词,这样的话,本来是内容的部分却被数据库识别为标识符来执行,就会引起错误.

 htmlspecialchars() 函数只用来转义少量HTML, &,双引号,大于号和小于号.并不会全部转换成 HTML 所定的 ASCII 转换

 htmlentities() 本函数有点像 htmlspecialchars() 函数，但本函数会将所有 string 的字符都转成 HTML 的特殊字集字符串。
 不过在转换后，阅读网页源代码时，尤其是网页源代码的中文字，在浏览时会显示不正常，这点要注意下。