[PHP] 表單輸入時對於HTML的過濾

在PHP中最常見的應用就是互動表單，因此接收用戶端資訊是非常常見的事！然而俗話說：「世風日下，人心不古」，這年頭誰知道用戶端的人在想些什麼？用戶 端送出的資訊很有可能會包含一些惡意的語法，對於２４小時暴露在網路環境的網站來說，時時刻刻都得小心防範駭客的攻擊，提升自我的資訊安全觀念非常重要。 所以在接收用戶端資訊後，存入資料庫之前，都會先對其進行基本的過濾；第一個要判斷的就是HTML語法的攻擊！

許多惡意語法都是建立在HTML上，PHP本身有提供轉換HTML碼的函數：htmlspecialchars()與htmlentities()；其中htmlspecialchars()只會轉換HTML相關碼：

• '&' => '&'
• '"' => '"'
• ''' => '''
• '<' => '<'
• '>' => '>'

而htmlentities()則是把字串中所有字元做轉換，另外還可以設定轉換字串的編碼方式。還有一個函數：strip_tags()是直接把HTML的標籤整個過濾掉。

之前在題目試作／哇寶基本能力測試一文中，也有提到相關的觀念。另外附上那個時候google到的一個國外防止XSS的網頁：PHP XSS (cross site scripting) filter function，他有對HTML作是否可能被當作惡意的語法作判斷，不過測試後發現對中文的處理好像有點問題...就當作是英文的過濾函式吧～

出處：http://blog.roodo.com/taikobo0/archives/5881583.html