php防范xss攻击代码实现

以下是一个简单的PHP函数，可以帮助防范XSS攻击：

function clean_input($input) {
  // 去除输入字符串的 HTML 和 PHP 标记
  $cleaned_input = strip_tags($input);

  // 将特殊字符转义为 HTML 实体
  $cleaned_input = htmlspecialchars($cleaned_input, ENT_QUOTES, 'UTF-8');

  // 返回已清理的输入字符串
  return $cleaned_input;
}

该函数做了以下几件事：

使用strip_tags函数去除输入字符串中的HTML和PHP标记，以防止攻击者插入恶意代码。
调用htmlspecialchars函数将输入字符串中的特殊字符（如<、>、&等）转义为HTML实体，以防止攻击者利用这些字符进行跨站脚本攻击。
返回已清理的输入字符串。

使用该函数的示例：

// 获取用户输入的字符串
$input = $_POST['input'];

// 清理用户输入的字符串
$cleaned_input = clean_input($input);

// 处理清理后的字符串，例如将其存储到数据库中
// ...

通过使用这样的清理函数，可以有效地防范XSS攻击。但是，需要注意的是，清理函数并不能完全保证防范所有的攻击，因此，还需要采取其他措施来保护应用程序的安全。