PHP strip_tags() 函数的作用和用法

strip_tags()函数可以轻松实现从字符串中去除 HTML 和 PHP 标记。

使用方法:

trip_tags ( string $str [, string $allowable_tags ] );

第一个参数为必须的,也就是要去除 HTML 和 PHP标记的源数据,第二个参数是可选的,表示不需要过滤的标记。

例如:

<?php
$data = '<a href="/words?citype=0">新词库</a>';
echo $data;
echo "<br>";
echo strip_tags($data);
?>

输出|:

显然,没有过滤的会显示超链接,过滤的不会显示(html)。

个人博客:PHP  strip_tags() 函数的作用和用法

转载于:https://www.cnblogs.com/jianqingwang/p/6813795.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
strip_tags()函数是一种在PHP编程中常用的函数,用于过滤字符串中的HTML标签,以防止跨站脚本攻击(XSS)等安全漏洞。然而,strip_tags()函数本身存在某些漏洞,可能导致安全问题。 首先,strip_tags()函数在处理标签时是基于简单的文本替换算法,这种替换方式容易被攻击者绕过,通过使用各种编码和绕过技巧,他们可以成功地注入恶意标签和脚本代码。例如,攻击者可以使用特殊字符来替代标签中的字符,以避免被strip_tags()函数识别和过滤。 其次,strip_tags()函数只能过滤HTML标签,但无法过滤其他类型的标记语言(如XML、SVG等)或属性。因此,如果输入字符串中含有其他类型的标记语言或属性,则无法通过strip_tags()函数进行过滤,从而产生安全漏洞。 此外,strip_tags()函数还存在一些边界情况下的漏洞。例如,当标签的属性名称包含特殊字符或编码时,strip_tags()函数可能无法正确识别和过滤这些标签,从而导致安全问题。 为避免这些漏洞,开发者应该使用更安全可靠的方法来过滤和处理用户输入数据。建议使用更为专业的HTML过滤器或转义函数,例如htmlspecialchars()函数,可以将特殊字符转义成HTML实体,从而防止XSS攻击。此外,还应该使用白名单过滤策略,只允许必要的标签和属性通过过滤,其他的标签和属性均被严格禁止。 总之,strip_tags()函数在过滤HTML标签时存在一些漏洞,容易被攻击者绕过,并无法过滤其他类型的标记语言或属性。开发者应该采取更为安全可靠的方法来过滤和处理用户输入数据,以保护应用程序免受XSS等安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值