过滤XSS的函数: htmlspecialchars() 简单写个XSS 效果 加上函数之后是这样的结果 原因是进行了HTML字符实体转码 绕过 如果有url两次解码情况,可以使用双重编码绕过 %253cscript%253ealert(document.cookie)%253c/script%253e 对’ " \的转义 addslashes() 对于sql注入的,就想到宽字节注入 如果是XSS的 <input onfocus=alert(/xss/) autofocus>