PHP防XSS攻击技巧全解析

本文深入剖析了PHP中防范XSS攻击的核心策略与实践要点，强调“输出转义”而非“输入过滤”的正确防御理念——所有来自用户端（GET/POST/Cookie/数据库等）的数据在渲染到HTML前必须通过htmlspecialchars()严格处理，并针对JavaScript字符串、富文本等特殊场景分别推荐json_encode()和HTMLPurifier等专业方案；同时指出仅靠手工正则或strip_tags()过滤富文本极不安全，必须依赖符合W3C规范的白名单解析器；此外，文章还系统讲解了通过X-Content-Type-Options和Content-Security-Policy等HTTP头构建纵深防御体系的重要性，尤其警示$_SERVER['PHP_SELF']直接拼接等经典陷阱，为PHP开发者提供了一套完整、可靠、可落地的XSS防护指南。

输出前必须用 htmlspecialchars() 处理用户数据

PHP 本身不自动转义输出内容，所有从 $_GET、$_POST、$_COOKIE、数据库、文件、第三方 API 拿来的字符串，只要会渲染到 HTML 页面里，就必须过一遍 htmlspecialchars()。这是最直接、最不可绕过的防线。

常见错误是只在表单提交时“过滤输入”，却忘了输出才是 XSS 触发点。比如：

• htmlspecialchars($str, ENT_QUOTES | ENT_HTML5, 'UTF-8') 是推荐写法：明确指定编码，兼容 HTML5，同时转义单双引号
• 不要用 htmlentities() 替代 —— 它会把非 ASCII 字符也转成实体，可能破坏中文、emoji 或其他 UTF-8 内容
• 如果输出场景是 JavaScript 字符串（比如 var msg = "";），htmlspecialchars() 不够用，得用 json_encode($str, JSON_UNESCAPED_UNICODE) 并确保外层引号匹配

富文本内容不能只靠 htmlspecialchars()，要用专用库白名单过滤

用户需要发带格式的文本（比如论坛帖子、商品描述）时，htmlspecialchars() 会把所有标签都干掉，体验崩坏。这时候不能手写正则去“删掉 script 标签”，而应交给成熟白名单过滤器。

推荐用 HTMLPurifier（需 Composer 安装），它按 W3C 规范解析 HTML，只保留你允许的标签和属性。例如只允许

、、（且 href 必须以 http:// 或 https:// 开头）。