/* * XSS攻击过滤 * 调用此方法字段 展示时需要用stripslashes() 清理从数据库或 HTML 表单中取回的数据 */ public static function clearXss($string = ''){ if (empty($string)) return ""; if (!get_magic_quotes_gpc()) { //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。 //这个是数据库层面 $string = addslashes($string); //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)加上反斜线转义 } //这个是页面层面、防止弹窗等 $string = trim(htmlspecialchars(strip_tags($string), ENT_QUOTES)); //去除 HTML和PHP标记并转换为HTML实体 转义单双引号 return $string; }
更多精彩文章请访问:百考汇