php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别

下面先来看一下htmlspecialchars函数和strip_tags函数的使用实例：

<?php
$str=\"<a href=\'http://www.manongjc.com\'>码农教程\'\\\"</a>\";
echo htmlspecialchars($str);
echo \"<br/><br/>\";
echo strip_tags($str);
?>

浏览器输出如下结果：

<a href=\'http://www.manongjc.com\'>码农教程\'\"</a>

码农教程\'\"

查看页面源码，结果如下：

&lt;a href=\'http://www.manongjc.com\'&gt;码农教程\'&quot;&lt;/a&gt;<br/><br/>码农教程\'\"

<##ads_in_article_manong##>

从结果可以看出htmlspecialchars() 和strip_tags的区别如下：

区别一：

strip_tags函数使用来去除HTML标签的，而htmlspecialchars并没有去除html标签，只是把标签转换为HTML实例，所以二者之间最大的区别是一个是删除掉HTML标签，一个是将html标签转换为其他字符。

区别二：

如果需要去除HTML标签的字符串里面的标签原来就有错，例如少了大于的符号，在使用strip_tags函数会传回错误，而htmlspecialchars不会有错误出现，依然后转换为HTML实体。

区别三：

在防止XSS攻击时，一般建议使用htmlspecialchars函数，因为strip_tags虽然可以删除HTML标签，但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'

在表单提交或用户留言板里，如果你希望数据原始输出带浏览器，那么请使用htmlspecialchars函数，不要使用strip_tags函数。