php怎么防止xss攻击

1、新建文件，编辑一下代码：

<?php  

if (isset($_POST['name'])){ 

    $str = $_POST['name'];

    echo $str;  

}  

?>  

<form method="post" action="">  

<input name="name" type="text">  

<input type="submit" value="提交" >  

</form>

浏览器打开，效果如下

2、输入普通内容，例如“wzl"，提交效果见图：

3、如果是攻击者，我可能输入“<script>alert('你真傻，真的')</script>”，效果会怎么样呢：

这种情况就是典型的xss攻击。

4、处理方式是使用htmlspecialchars函数将字符内容转换成html实体，编辑文件代码如下：

<?php  

if (isset($_POST['name'])){ 

    $str = htmlspecialchars($_POST['name']);

    echo $str;  

}  

?>  

<form method="post" action="">  

<input name="name" type="text">  

<input type="submit" value="提交" >  

</form>