PHP是向WEB浏览器发送数据的服务器端语言,当用户在表单中输入HTML字符将会对页面的格式产生影响,进而可能引发安全问题。例如xss注入。
可以使用php函数来处理PHP字符串变量的HTML标签。
□ htmlspecialchars()将特定的HTML标签转换为实体版本
□ htmlentities()将所有的HTML标签转换为实体版本
□ strip_tags()移除所有的HTML和PHP标签
通过程序验证下:
程序实际运行结果如下:
查看源码,确认函数运行结果,
可以看到不使用函数,<em></em>标签生效,htmlentities()通过转码将<em></em>标签转换为实体可以显示,strip_tags()移除<em></em>标签。
另外还有几个函数需要记录:
① 连接符. 代码示例:$name = $first_name . ' ' . $last_name;
② 换行函数nl2br() 代码示例:$posting = nl2br($_POST['posting']);