PHP安全编程必知：防止XSS攻击 在PHP中过滤和转义用户输入的完整方案

防止XSS攻击，核心在于对所有来自外部的、不可信的用户输入进行严格的过滤（清除潜在恶意代码）和正确的转义（使特殊字符失去其原有含义，变为普通文本）。这不仅仅是简单的函数调用，更是一种深入骨髓的安全意识和多层防御的实践。在我看来，任何一个有用户输入的PHP应用，都必须把这一点刻在骨子里。

解决方案

要构建一个能够有效抵御XSS攻击的PHP应用，我们需要一套系统性的方案，它涵盖了从数据进入系统到最终呈现给用户的每一个环节。这套方案没有所谓的“银弹”，它更像是一套组合拳，每一步都至关重要。

1. 输入阶段：严格的过滤与验证

永远不要相信任何用户输入，这是安全编程的黄金法则。在数据进入你的系统时，就应该对其进行清洗和验证，确保它符合你的预期。

立即学习“PHP免费学习笔记（深入）”；

• 白名单验证： 这是最推荐也最安全的做法。明确定义你允许的数据类型、格式、长度和范围。例如，一个邮箱字段就应该只接受符合邮箱格式的字符串；一个年龄字段只接受数字且在合理范围内。对于字符串，可以限制允许的字符集。

• filter_var()

  登录后复制
  函数： PHP内置的

  filter_var()

  登录后复制
  函数配合

  FILTER_SANITIZE_*

  登录后复制
  系列常量是一个非常强大的工具。它能帮助你移除或编码不期望的字符。

  • FILTER_SANITIZE_STRING

    登录后复制
    (在PHP 8.1+中已废弃，推荐使用其他方法或自行实现) 曾经用于移除标签和编码特殊字符，但它的行为可能不总是符合预期。

  • FILTER_SANITIZE_EMAIL

    登录后复制
    ：用于清理邮件地址。

  • FILTER_SANITIZE_URL

    登录后复制
    ：用于清理URL。

  • FILTER_SANITIZE_NUMBER_INT

    登录后复制
    /

    FILTER_SANITIZE_NUMBER_FLOAT

    登录后复制
    ：用于清理数字。
  • 示例：

    $email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
    $age = filter_var($_POST['age'], FILTER_SANITIZE_NUMBER_INT);

    登录后复制

• strip_tags()

  登录后复制
  函数： 对于那些你确定只需要纯文本的输入（比如评论的标题、简介），

  strip_tags()

  登录后复制
  是一个简单粗暴但有效的选择，它会移除字符串中的所有HTML和PHP标签。

  $commentTitle = strip_tags($_POST['title']);

  登录后复制

  但请注意，它不处理HTML实体，且对于需要保留部分HTML的富文本场景，它就无能为力了。

2. 输出阶段：上下文敏感的转义

这是防止XSS攻击的最后一道防线，也是最关键的一道。任何用户提供的数据，在输出到浏览器之前，都必须根据其所在的上下文进行正确的转义。

• HTML内容：

  htmlspecialchars()

  登录后复制
  当你需要将用户输入的数据插入到HTML的普通文本内容中时，

  htmlspecialchars()

  登录后复制
  是你的首选。它会将HTML特殊字符（

  &

  登录后复制
  ,

  <

  登录后复制
  ,

  >

  登录后复制
  ,

  "

  登录后复制
  ,

  '

  登录后复制
  ）转换为HTML实体，从而阻止浏览器将其解释为HTML标签或属性。

  echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');
  // ENT_QUOTES 确保单引号和双引号都被转义
  // 'UTF-8' 指定字符编码，避免乱码和潜在的绕过

  登录后复制
• HTML属性：

  htmlspecialchars()

  登录后复制
  +

  urlencode()

  登录后复制
  当用户数据需要作为HTML标签的属性值时，同样使用

  htmlspecialchars()

  登录后复制
  。但对于URL相关的属性（如

  href

  登录后复制
  ,

  src

  登录后复制
  ），你还需要额外使用

  urlencode()

  登录后复制
  来确保URL的安全性。

  echo '<a href="' . htmlspecialchars(urlencode($userLink), ENT_QUOTES, 'UTF-8') . '">Visit</a>';
  echo '<img src="' . htmlspecialchars($userImagePath, ENT_QUOTES, 'UTF-8') . '">';

  登录后复制
• JavaScript上下文：

  json_encode()

  登录后复制
  如果要把用户数据嵌入到JavaScript代码中（例如，作为JS变量的值），

  json_encode()

  登录后复制
  是一个非常安全且推荐的选择。它会将PHP变量转换为JSON字符串，自动处理所有必要的JS转义。

  echo '<script>';
  echo 'var userName = ' . json_encode($userName) . ';';
  echo '</script>';

  登录后复制

  切记： 永远不要直接将用户输入拼接进JavaScript代码，尤其是作为函数名、变量名或代码块的一部分。

• CSS上下文： 避免直接将用户输入插入到CSS中。如果确实需要，必须进行极其严格的白名单验证，并使用CSS专用的转义机制（例如

  \xx

  登录后复制
  形式的十六进制编码），这通常非常复杂且容易出错。最好的做法是避免这种情况。
• URL参数：

  urlencode()

  登录后复制
  当用户数据作为URL的查询参数时，使用

  urlencode()

  登录后复制
  。

  $queryParam = urlencode($userQuery);
  echo '<a href="/search?q=' . $queryParam . '">Search</a>';

  登录后复制

3. 综合策略与框架支持

现代PHP框架（如Laravel, Symfony, CodeIgniter等）的模板引擎（Blade, Twig等）通常都内置了上下文敏感的自动转义机制。这意味着你在模板中输出变量时，它们会自动进行HTML转义，极大地降低了XSS的风险。尽管如此，理解底层原理并知道何时手动干预（例如，输出原始HTML时使用

{!! $var !!}

raw

过滤与转义：XSS防御中的双重保险如何协同工作？

这确实是很多开发者容易混淆的地方。简单来说，过滤和转义是XSS防御中两个不同但又互补的阶段，它们协同工作，形成一道坚固的防线。

过滤 (Filtering)，或者说净化 (Sanitization)，是在数据进入系统时进行的。它的目的是确保数据的“纯洁性”和“合法性”。你可以把它想象成对进入你家的所有包裹进行“安检”：检查包裹里有没有违禁品（恶意代码），有没有不符合你家规矩的东西（不合法的数据格式）。过滤的重点在于移除或修改数据中潜在的恶意或不符合预期的部分。例如，

strip_tags()

filter_var($email, FILTER_SANITIZE_EMAIL)

转义 (Escaping) 则是在数据输出到浏览器时进行的。它的目的是让数据在特定的上下文中变得“无害”，不被浏览器错误地解析为可执行的代码。你可以把它想象成你把包裹里的东西拿出来展示时，为了不引起误会，对一些特殊物品进行了“包装”。比如，一个写着“<script>alert(1)</script>”的字符串，如果你直接显示在HTML里，它就会被执行。但经过HTML转义后，它变成了“zuojiankuohaophpcnscript>alert(1)</script>”，浏览器就只会把它当成普通文本显示出来，而不是执行脚本。转义是上下文敏感的，意味着你需要根据数据将要被放置的位置（HTML内容、HTML属性、JavaScript、URL等）来选择合适的转义方法。这个过程在每次输出数据时都应该进行。

知我AI·PC客户端

离线运行 AI 大模型，构建你的私有个人知识库，对话式提取文件知识，保证个人文件数据安全

0

查看详情

所以，它们的关系是：过滤是前端的“预处理”，保证了数据的“干净”；转义是后端的“包装”，保证了数据在特定环境下的“安全呈现”。缺少任何一个环节，都可能留下XSS的漏洞。一个干净的数据，如果未经正确转义就输出，依然可能被利用；而一个被正确转义的数据，如果其中包含了不必要的“垃圾信息”，也可能导致显示问题或增加复杂性。

面对富文本输入：如何在允许部分HTML的同时确保XSS安全？

处理富文本输入是XSS防御中最具挑战性的场景之一。因为用户需要输入包含HTML标签的内容（比如加粗、斜体、列表等），所以简单地使用

strip_tags()

htmlspecialchars()

在这种情况下，我们需要一个更智能、更精细的“安检员”，它能够理解HTML结构，并只允许那些“安全”的HTML标签和属性通过，同时剥离所有潜在的恶意代码（如

<script>

onmouseover

javascript:

在PHP生态中，HTML Purifier 是处理富文本XSS问题的黄金标准。它不是一个简单的字符串替换工具，而是一个功能完备的HTML解析器和净化器。

HTML Purifier的工作原理：

1. 解析： 它首先将用户输入的HTML解析成一个DOM树结构，就像浏览器解析HTML一样。
2. 白名单过滤： 它基于一个严格的白名单规则集。只有那些在白名单中明确允许的标签（如

   <b>

   登录后复制
   ,

   <i>

   登录后复制
   ,

   <a>

   登录后复制
   ,

   <img>

   登录后复制
   ）和属性（如

   href

   登录后复制
   ,

   src

   登录后复制
   ,

   alt

   登录后复制
   ）才会被保留。
3. 属性过滤： 即使是允许的标签，其属性也会被严格检查。例如，

   <a>

   登录后复制
   标签的

   href

   登录后复制
   属性会被检查是否包含

   javascript:

   登录后复制
   伪协议。
4. CSS过滤： 对于

   style

   登录后复制
   属性或

   <style>

   登录后复制
   标签内的CSS，它也会进行净化，移除不安全的CSS表达式。
5. 重构： 经过净化后的DOM树会被重新构建成一个干净、合法的HTML字符串。

如何使用HTML Purifier（简要示例）：

你需要通过Composer安装它，然后进行配置。

// 假设你已经通过Composer安装了HTML Purifier
require_once 'vendor/autoload.php';

use HTMLPurifier_Config;
use HTMLPurifier;

$config = HTMLPurifier_Config::createDefault();
// 允许一些基本的HTML标签
$config->set('HTML.Allowed', 'p,b,i,a[href|title],ul,ol,li');
// 可以根据需要配置更多规则，例如允许图片、表格等
// $config->set('HTML.Allowed', 'p,b,i,a[href|title],ul,ol,li,img[src|alt|width|height],table,tr,td');

$purifier = new HTMLPurifier($config);

$dirty_html = '<p>Hello <b>world</b>!</p><script>alert("XSS");</script><a href="javascript:alert(1)">Click me</a>';
$clean_html = $purifier->purify($dirty_html);

echo $clean_html;
// 输出: <p>Hello <b>world</b>!</p><a href="">Click me</a>
// 注意：<script>标签和javascript:协议都被移除了

使用HTML Purifier处理富文本，能够极大地提升安全性。但即便如此，也要记住：HTML Purifier处理的是HTML内容本身的安全。如果你将HTML Purifier处理过的字符串，又在不恰当的上下文中（例如，直接作为JavaScript变量的一部分）使用，那么你仍然需要针对该上下文进行额外的转义。安全永远是多层防御。

内容安全策略（CSP）：在PHP应用中如何为XSS防御添加额外的屏障？

内容安全策略（Content Security Policy, CSP）是一种强大的客户端安全机制，它为你的PHP应用提供了一道额外的、基于浏览器层面的XSS防御屏障。它不是用来替代服务器端的过滤和转义，而是作为一种深度防御（Defense-in-Depth）策略，即使你的服务器端代码存在XSS漏洞，CSP也能在一定程度上限制攻击的影响。

CSP的工作原理是，通过HTTP响应头（

Content-Security-Policy

如何在PHP应用中设置CSP？

你可以在PHP代码中通过

header()

<?php
// 最基本的CSP，只允许加载同源的脚本和样式
header("Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'");

// 更严格的CSP示例，允许一些外部资源，并使用nonce来允许内联脚本
$nonce = base64_encode(random_bytes(16)); // 生成一个随机的nonce
header("Content-Security-Policy: default-src 'self'; " .
       "script-src 'self' 'nonce-$nonce' https://cdn.example.com; " .
       "style-src 'self' 'nonce-$nonce' https://fonts.googleapis.com; " .
       "img-src 'self' data:; " .
       "object-src 'none'; " . // 禁用插件，如Flash
       "base-uri 'self'; " . // 限制<base>标签的URL
       "form-action 'self'; " . // 限制表单提交的目标
       "frame-ancestors 'self'; " . // 防止点击劫持
       "report-uri /csp-report-endpoint;"); // 报告违规行为到后端

// 你的HTML和PHP内容
echo "<!DOCTYPE html><html><head>";
echo "<style nonce=\"$nonce\">body { color: blue; }</style>"; // 使用nonce的内联样式
echo "</head><body>";
echo "<script nonce=\"$nonce\">alert('Hello from inline script!');</script>"; // 使用nonce的内联脚本
echo "<p>This is a test.</p>";
echo "</body></html>";
?>

CSP的关键指令：

• default-src

  登录后复制
  ： 默认的资源加载策略，如果其他指令没有指定，就使用这个。

• script-src

  登录后复制
  ： 允许加载和执行脚本的来源。

• style-src

  登录后复制
  ： 允许加载样式表的来源。

• img-src

  登录后复制
  ： 允许加载图片的来源。
• **

  connect-src

  登录后复制

以上就是PHP安全编程必知：防止XSS攻击 在PHP中过滤和转义用户输入的完整方案的详细内容，更多请关注php中文网其它相关文章！