PHP安全过滤HTML标签应优先使用HTMLPurifier实现白名单式过滤，strip_tags()仅适用于纯文本场景且存在绕过风险，手动正则过滤极易被大小写混淆、编码或注释干扰绕过，不推荐用于用户输入。

PHP接收参数时如何安全过滤HTML标签

直接用 htmlspecialchars() 或 htmlentities() 并不能满足「保留部分HTML但剔除危险标签」的需求。真正需要的是白名单式过滤，而非简单转义。

用 strip_tags() 去掉所有HTML但保留换行和空格

这是最轻量的方案，适用于纯文本输入场景（如评论、简介），但会无差别删掉所有标签，包括 、

• strip_tags() 第二个参数可传入允许的标签数组，例如：strip_tags($input, ['

  ', '
  ', ''])

• 注意：它不解析嵌套或闭合关系， 即使被写成 也可能绕过，不能用于高危输入
• 对含属性的标签无效，比如 中的 href 属性不会被检查，仅标签名被比对

用 HTMLPurifier 实现严格白名单过滤

这是目前 PHP 生态中唯一被广泛验证、支持完整 HTML5 规范且可配置 XSS 防护的方案。它会解析 DOM、校验属性、清理事件处理器和危险协议。

• 安装：composer require ezyang/htmlpurifier
• 基础用法：

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p,b,i,a[href|title],br,ul,ol,li');
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($_POST['content']);

• 关键配置项：URI.AllowedSchemes 控制哪些协议可用（默认只留 http、https、mailto）；HTML.SafeIframe 开启后才允许 ，且需配合 HTML.SafeIframe.Regexp 限定来源
• 性能开销明显高于 strip_tags()，建议对高频接口做缓存或异步净化

手动正则过滤存在严重风险，不推荐

用 preg_replace() 匹配 或 on\w+= 类模式看似简单，但极易被绕过：

立即学习“PHP免费学习笔记（深入）”；

• 大小写混淆：、
• 编码绕过：、
• 注释干扰：
• 浏览器容错解析会让很多“看似没匹配到”的输入仍被执行

除非你明确知道输入来源绝对可控（如后台管理员富文本编辑器导出内容），否则不要依赖正则清洗用户提交的 HTML。

HTML 过滤的核心矛盾在于：既要保留排版能力，又要杜绝执行能力。没有银弹，strip_tags() 适合低交互场景，HTMLPurifier 是通用解，而任何试图“自己写一个更轻的过滤器”的尝试，大概率会在某次上线后触发 XSS 漏洞。

# php  # javascript  # java  # html  # composer  # html5  # 处理器  # 编码  # 浏览器  # ai  # php安全 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Python自然语言搜索引擎项目教程_倒排索引查询优化案例  Windows10如何更改计算机工作组_Win10系统属性修改Workgroup  php做exe能调用系统命令吗_执行cmd指令实现方式【详解】  什么是JavaScript解构赋值_解构赋值有哪些实用技巧  消息称 OpenAI 正研发的神秘硬件设备或为智能笔，富士康代工  中国移动官方网站首页入口 中国移动官网网页登录  音乐网站服务器如何优化API响应速度？  Laravel怎么实现搜索功能_Laravel使用Eloquent实现模糊查询与多条件搜索【实例】  如何在 React 中条件性地遍历数组并渲染元素  laravel怎么配置和使用PHP-FPM来优化性能_laravel PHP-FPM配置与性能优化方法  Laravel如何使用Vite进行前端资源打包？（配置示例）  网站建设要注意的标准 促进网站用户好感度！  青岛网站建设如何选择本地服务器？  网站设计制作书签怎么做,怎样将网页添加到书签/主页书签/桌面？  在centOS 7安装mysql 5.7的详细教程  Android自定义listview布局实现上拉加载下拉刷新功能  Laravel怎么做数据加密_Laravel内置Crypt门面的加密与解密功能  网站制作企业,网站的banner和导航栏是指什么？  深入理解Android中的xmlns:tools属性  Android利用动画实现背景逐渐变暗  百度输入法ai面板怎么关 百度输入法ai面板隐藏技巧  Python企业级消息系统教程_KafkaRabbitMQ高并发应用  javascript事件捕获机制【深入分析IE和DOM中的事件模型】  公司网站制作价格怎么算,公司办个官网需要多少钱？  如何快速辨别茅台真假？关键步骤解析  Laravel如何构建RESTful API_Laravel标准化API接口开发指南  Laravel模型事件有哪些_Laravel Model Event生命周期详解  Laravel观察者模式如何使用_Laravel Model Observer配置  C++时间戳转换成日期时间的步骤和示例代码  如何快速搭建FTP站点实现文件共享？  LinuxCD持续部署教程_自动发布与回滚机制  Laravel怎么进行数据库回滚_Laravel Migration数据库版本控制与回滚操作  Win11怎么开启自动HDR画质_Windows11显示设置HDR选项  Laravel Telescope怎么调试_使用Laravel Telescope进行应用监控与调试  重庆市网站制作公司,重庆招聘网站哪个好？  Python函数文档自动校验_规范解析【教程】  智能起名网站制作软件有哪些,制作logo的软件？  移动端手机网站制作软件,掌上时代，移动端网站的谷歌SEO该如何做？  如何快速生成橙子建站落地页链接？  Laravel如何集成微信支付SDK_Laravel使用yansongda-pay实现扫码支付【实战】  宙斯浏览器视频悬浮窗怎么开启 边看视频边操作其他应用教程  Linux系统运维自动化项目教程_Ansible批量管理实战  Laravel中的Facade(门面)到底是什么原理  Zeus浏览器网页版官网入口 宙斯浏览器官网在线通道  html5audio标签播放结束怎么触发事件_onended回调方法【教程】  深圳网站制作公司好吗,在深圳找工作哪个网站最好啊？  C语言设计一个闪闪的圣诞树  如何快速搭建高效WAP手机网站吸引移动用户？  Laravel如何实现本地化和多语言支持？（i18n教程）  如何在IIS中新建站点并解决端口绑定冲突？