在页面上直接输出未经解析的HTML源码

定义一个字符串，其中包括HTML标签

$str = "<p>Hello PHP <\p>";

echo $str;

上面这一部分是正常输出解析的HTML源码。

想要不解析HTML源码而输出HTML实体代替，从而防止攻击的时候。可以使用

htmlspecialchars($str)、htmlentities($str)、strip_tags()函数中的任何一个，他们的过滤强度是不同的

例如

echo strip_tags($str);

即可以得到一个直接输出而未经解析的HTML源码