[分享]php安全过滤代码和xss函数

在PHP中，为了防止跨站脚本攻击（XSS），通常需要对用户输入的数据进行过滤和转义。下面是一个简单的PHP函数，用于过滤和转义用户输入，以防止XSS攻击。php / 过滤和转义用户输入，防止XSS攻...

在PHP中，为了防止跨站脚本攻击（XSS），通常需要对用户输入的数据进行过滤和转义。下面是一个简单的PHP函数，用于过滤和转义用户输入，以防止XSS攻击。

<?php

/**
 * 过滤和转义用户输入，防止XSS攻击
 * 
 * @param mixed $input 用户输入的数据
 * @return mixed 过滤和转义后的数据
 */
function xssFilter($input) {
    if (is_array($input)) {
        return array_map('xssFilter', $input);
    } else {
        if (is_string($input)) {
            $input = trim($input);
            // 使用htmlspecialchars函数转义特殊字符
            $input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
        }
        return $input;
    }
}

/**
 * 使用示例
 */
$userInput = $_POST['user_input']; // 假设这是用户提交的数据
$safeInput = xssFilter($userInput);

echo $safeInput; // 输出过滤后的数据

?>

这个xssFilter函数接受一个参数$input，它可以是一个字符串、一个数组或者一个对象。如果$input是一个数组，函数会递归地对数组中的每个元素进行过滤。如果$input是一个字符串，函数会使用htmlspecialchars函数来转义字符串中的特殊字符（如<、>、&等），以防止XSS攻击。

请注意，这个函数是一个基本的示例，实际应用中可能需要根据具体情况进行调整和增强。例如，你可能需要根据不同的上下文（如HTML、JavaScript、CSS等）来选择不同的转义策略。

此外，对于更复杂的情况，你可能需要使用一些现成的库，如HTMLPurifier，它提供了更全面的XSS过滤功能。使用这些库可以帮助你更有效地保护你的应用程序免受XSS攻击。