问strip_tags和htmlentities

EN

首先:只在需要时才使用转义方法。也就是说，如果你在数据库中插入一些东西，只对数据库进行转义，即应用mysql_real_escape_string (或PDO->quote或任何你正在使用的数据库层)。但是不要对输出应用任何转义。目前还没有strip_tags或类似的版本。这是因为您可能希望在其他地方使用存储在数据库中的数据，在那里HTML转义不是必需的，而只会使文本变得丑陋。

第二:你不应该使用strip_tags。它完全删除了标签。也就是说，用户没有得到与他输入的相同的输出。请改用htmlspecialchars。它将为用户提供相同的输出，但将使其无害。

strip_tags将删除所有HTML标签：

"<b>foo</b><i>bar</i>" --> "foobar"

htmlentities将对HTML中的特殊字符进行编码

"a & b" --> "a & b"
"<b>foo</b>" --> "&lt;b&gt;foo&lt;/b&gt;"

如果您使用htmlentities，那么当您将字符串输出到浏览器时，用户应该看到他们输入的文本，而不是HTML语言

echo htmlentities("<b>foo</b>");

视觉效果为: foo

echo strip_tags("<b>foo</b>");

结果: foo

我不会使用htmlentities，因为它允许您按原样将字符串插入到数据库中。Yhis对账号详细信息或论坛都没有好处。

使用mysql_real_escape_string将数据插入数据库，使用strip_tags从数据库接收数据并回显到屏幕。