php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别

原文地址：http://www.manongjc.com/article/1103.html

先来看一下htmlspecialchars函数和strip_tags函数的使用实例：

<span style="color: #000000;">php  
</span><span style="color: #800080;">$str</span>="<a href="http://www.manongjc.com">码农教程'\"</a>"<span style="color: #000000;">;  
</span><span style="color: #0000ff;">echo</span> <span style="color: #008080;">htmlspecialchars</span>(<span style="color: #800080;">$str</span><span style="color: #000000;">);  
</span><span style="color: #0000ff;">echo</span> "<br><br>"<span style="color: #000000;">;  
</span><span style="color: #0000ff;">echo</span> <span style="color: #008080;">strip_tags</span>(<span style="color: #800080;">$str</span><span style="color: #000000;">);  
</span>?> 

浏览器输出如下结果：

<a href="http://www.manongjc.com">码农教程'<span style="color: #000000;">"</span></a>  
  
码农教程'"  

查看页面源码，结果如下：

<span style="color: #0000ff;"><span style="color: #800000;">a </span><span style="color: #ff0000;">href</span><span style="color: #0000ff;">='http://www.manongjc.com'</span><span style="color: #0000ff;">></span>码农教程'"<span style="color: #0000ff;"></span><span style="color: #800000;">a</span><span style="color: #0000ff;">><span style="color: #800000;">br</span><span style="color: #0000ff;">/><span style="color: #800000;">br</span><span style="color: #0000ff;">/></span>码农教程'" </span></span></span>

 

从结果可以看出htmlspecialchars() 和strip_tags的区别如下：

 

区别一：

strip_tags函数使用来去除HTML标签的，而htmlspecialchars并没有去除html标签，只是把标签转换为HTML实例，所以二者之间最大的区别是一个是删除掉HTML标签，一个是将html标签转换为其他字符。

 

区别二：

如果需要去除HTML标签的字符串里面的标签原来就有错，例如少了大于的符号，在使用strip_tags函数会传回错误，而htmlspecialchars不会有错误出现，依然后转换为HTML实体。

 

区别三：

在防止XSS攻击时，一般建议使用htmlspecialchars函数，因为strip_tags虽然可以删除HTML标签，但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'

在表单提交或用户留言板里，如果你希望数据原始输出带浏览器，那么请使用htmlspecialchars函数，不要使用strip_tags函数。

 

关于htmlspecialchars() 和strip_tags函数请参考阅读：

http://www.manongjc.com/article/1213.html

http://www.manongjc.com/article/1099.html

http://www.manongjc.com/article/795.html