PHP过滤HTML字符串函数

封面图 • 2025-11-02 • PHP

在 PHP 中，过滤 HTML 字符串是一个常见的需求，尤其是在处理用户输入时，以防止 XSS（跨站脚本攻击）等安全问题。以下是几种常用的过滤 HTML 字符串的方法：

### 1. 使用 `htmlspecialchars()` 函数
`htmlspecialchars()` 是 PHP 提供的一个简单且常用的方法，用于将特殊字符转换为 HTML 实体。它可以帮助防止 XSS 攻击。

```php
function filter_html($input) {
    return htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, 'UTF-8');
}
```

**参数说明：**
- `$input`: 需要过滤的字符串。
- `ENT_QUOTES`: 将单引号和双引号都转义。
- `ENT_HTML5`: 使用 HTML5 的规则进行转义。
- `'UTF-8'`: 指定字符编码。

**示例：**

```php
$input = "<script>alert('XSS');</script>";
$output = filter_html($input);
echo $output; // 输出: &lt;script&gt;alert('XSS');&lt;/script&gt;
```

---

### 2. 使用 `strip_tags()` 函数
`strip_tags()` 可以去除字符串中的所有 HTML 标签，但不会对内容进行转义。

```php
function strip_html_tags($input) {
    return strip_tags($input);
}
```

**示例：**

```php
$input = "<p>Hello <b>World</b>!</p>";
$output = strip_html_tags($input);
echo $output; // 输出: Hello World!
```

如果需要同时转义内容，可以结合 `htmlspecialchars()` 使用：

```php
function strip_and_filter_html($input) {
    return htmlspecialchars(strip_tags($input), ENT_QUOTES | ENT_HTML5, 'UTF-8');
}
```

---

### 3. 使用正则表达式过滤特定标签
如果你只想允许某些特定的 HTML 标签，可以使用正则表达式来过滤。

```php
function filter_allowed_tags($input, $allowedTags = '<p><a><strong><em>') {
    return strip_tags($input, $allowedTags);
}
```

**示例：**

```php
$input = "<div style='color:red;'>Hello</div><a href='#'>Link</a>";
$allowedTags = '<a><strong>';
$output = filter_allowed_tags($input, $allowedTags);
echo $output; // 输出: <a href='#'>Link</a>
```

---

### 4. 使用第三方库（如 HTMLPurifier）
如果你需要更复杂的过滤功能，可以考虑使用第三方库，例如 [HTMLPurifier](https://htmlpurifier.org/)。它可以精确控制哪些标签、属性和样式是允许的。

安装方法（通过 Composer）：
```bash
composer require ezyang/htmlpurifier
```

使用示例：
```php
require_once 'vendor/autoload.php';

use HTMLPurifier;
use HTMLPurifier_Config;

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);

$input = "<script>alert('XSS');</script><p>Hello <b>World</b>!</p>";
$output = $purifier->purify($input);
echo $output; // 输出: <p>Hello <b>World</b>!</p>
```

---

### 总结
- 如果只是简单的转义，推荐使用 `htmlspecialchars()`。
- 如果需要去除所有 HTML 标签，推荐使用 `strip_tags()`。
- 如果需要保留部分标签并转义内容，可以结合 `strip_tags()` 和 `htmlspecialchars()`。
- 对于复杂场景，建议使用成熟的第三方库如 HTMLPurifier。

根据具体需求选择合适的方法即可！