php中的strip_tags没有帮助，需要一个更好的替代方案

strip_tags 是 PHP 中用于移除 HTML 和 PHP 标签的函数。然而，它并不完美，有时可能会漏掉一些标签，或者在处理特殊字符时出现问题。如果你发现 strip_tags 不能满足你的需求，可以考虑以下几种替代方案：

1. 使用正则表达式

虽然正则表达式可能不如专门的 HTML 解析器强大和稳定，但在某些情况下它仍然是一个快速且简单的解决方案。

function stripAllTags($string) {
    return preg_replace('/<[^>]*>/', '', $string);
}

2. 使用 HTML Purifier

HTML Purifier 是一个专门用于清理和过滤 HTML 的 PHP 库。它可以更安全、更彻底地移除不需要的标签。

require_once 'htmlpurifier/HTMLPurifier.auto.php';

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);

你可以在这里找到更多关于 HTML Purifier 的信息：HTML Purifier 官网

3. 使用 DOMDocument

PHP 的 DOMDocument 类可以解析 HTML 文档，并提供了移除节点的方法。

function stripHtmlTags($str) {
    $dom = new DOMDocument();
    @$dom->loadHTML($str);
    return $dom->saveHTML();
}

4. 使用第三方库

还有一些第三方库可以帮助你处理 HTML，比如 symfony/dom-crawler 或 goutte/goutte。

应用场景

数据清洗：在处理用户输入的数据时，为了防止 XSS 攻击，需要移除或转义 HTML 标签。
内容展示：在某些情况下，你可能只想显示纯文本内容，而不需要任何 HTML 标签。

可能遇到的问题及解决方法

标签未完全移除：使用更强大的解析器，如 HTML Purifier 或 DOMDocument。
特殊字符处理不当：确保在处理字符串之前对其进行正确的编码和解码。
性能问题：对于大量数据的处理，可以考虑使用缓存或优化代码逻辑。

选择哪种方法取决于你的具体需求和场景。如果你需要更高级的 HTML 处理功能，建议使用专门的库或工具。

相关·内容

PHP函数

PHP strip_tags() 函数定义和用法 strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。防注入注释：该函数始终会剥离 HTML 注释。...ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD（UTF-8）或者 &#FFFD; 的字符，而不是返回一个空的字符串。...ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD（UTF-8）或者 &#FFFD;。...PHP 版本： 4+ 更新日志：在 PHP 5 中， character-set 参数的默认值改为 UTF-8。...(反之，序列化字符串转对象或数组：unserialize() ) serialize() 函数序列化对象后，可以很方便的将它传递给其他需要它的地方，且其类型和结构不会改变。

2.9K4 0

PHP 之道笔记整理：最佳实践与安全指南

在这篇文章中，我们将以简明易懂的语言探讨 PHP 最佳实践中的一些关键主题，包括使用当前稳定版本、日期和时间处理、UTF-8 编码以及确保 Web 应用程序的安全。...这篇文章旨在为刚入门的开发者提供指南，同时也能够帮助有一定编程经验的开发者回顾和巩固知识。使用 PHP 当前稳定版本（8.3）首先，与任何技术栈一样，使用当前的稳定版本是非常重要的。...值得注意的是，PHP 5.6 将在 2018 年停止接收安全更新。强烈建议尽快升级到 PHP 8.3，以享受更好的性能和安全性。接下来，让我们一起深入探讨更多关键主题。...日期和时间在 PHP 开发中，经常需要处理日期和时间。PHP 的 DateTime 类提供了一个面向对象的接口，让日期和时间的读取、写入、比较和计算变得更加简单。...PHP 层面的 UTF-8为了正确处理 UTF-8 字符串，我们应该使用 mb_* 函数替代传统的字符串操作函数。例如，使用 mb_substr() 替代 substr() 来避免潜在的乱码问题。<?

1311 0

php字符串过滤strip_tags()函数用法实例分析

本文实例讲述了php字符串过滤strip_tags()函数用法。...分享给大家供大家参考，具体如下： strip_tags — 从字符串中去除 HTML 和 PHP 标记，非常重要的函数 (PHP 4, PHP 5, PHP 7) string strip_tags (...allowable_tags：可选，指定不被去除的字符列表。作用：剥去字符串中的 HTML、XML 以及 PHP 的标签。返回值：返回被剥离的字符串。 <?...相关内容感兴趣的读者可查看本站专题：《php常用函数与技巧总结》、《php字符串(string)用法总结》、《PHP数组(Array)操作技巧大全》、《PHP基本语法入门教程》、《php+mysql数据库操作入门教程...》及《php常见数据库操作技巧汇总》希望本文所述对大家PHP程序设计有所帮助。

1.1K2 0

简述PHP7.4 新特性和废弃的功能

- name = "张三"; //error $user- age = "zhang";//需要传递int 2....php strip_tags($str,['p','a','div']); //老的写法 strip_tags($str,"<p <a <div "); 废弃的特性 1....没有显式括号的嵌套三元运算符 <?php 1 ? 2 : 3 ? 4 : 5; // deprecated (1 ? 2 : 3) ? 4 : 5; // ok 1 ? 2 : (3 ?...php $num = ""; $a = (real) $num;//废弃 $a = (float) $num; 4. parent 关键词在没父类的类中使用在没有父类的类中使用 parent 会出现编译错误...移除的拓展 Firebird/Interbase Recode WDDX 以上就是本文的全部内容，希望对大家的学习有所帮助。

5214 1

8992 0

MAMP 服务器 preauth XSS 导致主机妥协 (0day)

根据他们的 wiki，MAMP 是一个解决方案堆栈，由免费、开源和专有的商业软件组成，共同用于在 Apple Macintosh 计算机上开发和运行动态网站。...正如您所看到的，用户控制的输入 ($_SERVER['PHP_SELF']) 被用在一个没有足够的清理 (strip_tags) 的标记中。...MAMP 附带了许多攻击者可以使用的功能，例如：通过 phpMyAdmin 进行完整的数据库操作（不需要来自 localhost 的身份验证，但需要我们的 XSS 漏洞利用可以轻松为我们获取的 antiCSRF...将 localhost 域及其文本负载嵌入到一个不可见的 iframe 中 2. 将受害者发送给看似无辜的攻击者页面 3. 我们的 XSS 负载执行，我们可以利用我们的其他漏洞不会在本帖中透露。...htmlentities(strip_tags($_SERVER['PHP_SELF'])) 修改 index.php 的第 30 行，你应该是安全的。

6862 0

php反射型xss,反射型XSS测试及修复

反射型XSS一般出现的位置，如GET参数中测试搜索功能 F12查看源码，查找出现1111的位置第一个位置在title处尝试闭合掉title标签，然后测试JS代码，成功弹窗查看源码，XSS执行...第二处位置在搜索框，此处XSS无法执行，因为位于value属性内，需要将其闭合测试时注意闭合掉多余的双引号” 接下来对XSS漏洞进行源码修复第一处XSS在title位置，输入的搜索参数ks直接...>|{ 添加过滤代码strip_tags()操作测试发现对第二处XSS位于搜索框，位于index_menu.html中同样的漏洞，对输入的ks没有进行任何过滤操作直接echo输出添加过滤函数strip_tags...php echo strip_tags(input(‘ks’));?...> 测试发现对然而这个修复是不完善的，存在绕过，将value值闭合后，添加一个事件属性依然可以有效XSS 最好的过滤方法是使用htmlsepcial函数进行过滤 <?

7502 0

谈一谈php:filter的妙用

巧用编码与解码使用编码不光可以帮助我们获取文件，也可以帮我们去除一些“不必要的麻烦”。记得前段时间三个白帽有个比赛，其中有一部分代码大概类似于以下： <?php $content = '没有了。最后效果是： ?...php exit; ?>实际上是什么？实际上是一个XML标签，既然是XML标签，我们就可以利用strip_tags函数去除它，而php://filter刚好是支持这个方法的。...php exit; ?>被去除了。但回到上面的题目，我们最终的目的是写入一个webshell，而写入的webshell也是php代码，如果使用strip_tags同样会被去除。

9052 0

TP如何获取输入变量

在Web开发过程中，我们经常需要获取系统变量或者用户提交的数据，这些变量数据错综复杂，而且一不小心就容易引起安全隐患，但是如果利用好ThinkPHP提供的变量获取功能，就可以轻松的获取和驾驭变量了。...所以，更好的方式是在框架中统一使用I函数进行变量获取和过滤。...参数（3.2.2新增） data 获取其他类型的参数，需要配合额外数据源参数（3.2.2新增）注意：变量类型不区分大小写。...I方法的时候指定了过滤方法，那么就会忽略DEFAULT_FILTER的设置，例如： // 等同于 strip_tags($_GET['name']) echo I('get.name','','strip_tags...变量修饰符 3.2.3版本开始，I函数支持对变量使用修饰符功能，可以更好的过滤变量。

2.1K3 0

WordPress 为什么要创建 wp_strip_all_tags 函数

我们知道 PHP 有个 strip_tags 函数，可以从字符串中去除 HTML 和 PHP 标签，比如， $text = 'Test paragraph. echo strip_tags($text, ''); // 自 PHP 7.4.0 起，上面的行可以写成： // echo strip_tags($text, ['p', 'a']... Other text 但是熟悉 WordPress 的同学，知道 WordPress 也有一个类似的函数 wp_strip_all_tags，它也是一样功能...有什么不同的地方？和 strip_tags 函数不同是， wp_strip_all_tags 函数同时也移除和标签的内容，什么意思呢？...一般来说需要根据情况来定，但是据我的经验，大部分情况下应该使用 wp_strip_all_tags 函数，因为样式和脚本的代码的确不是内容。

2142 0

浅谈php:filter的妙用

巧用编码与解码使用编码不光可以帮助我们获取文件，也可以帮我们去除一些“不必要的麻烦”。记得前段时间三个白帽有个比赛，其中有一部分代码大概类似于以下： <?php $content = '<?...众所周知，base64编码中只包含64个可打印字符，而PHP在解码base64时，遇到不在其中的字符时，将会跳过这些字符，仅将合法字符组成一个新的字符串进行解码。...这样，”phpexita”被正常解码，而后面我们传入的webshell的base64内容也被正常解码。结果就是<?php exit; ? 没有了。最后效果是： ?...php exit; ? 实际上是什么？实际上是一个XML标签，既然是XML标签，我们就可以利用strip_tags函数去除它，而php://filter刚好是支持这个方法的。...php exit; ? 被去除了。但回到上面的题目，我们最终的目的是写入一个webshell，而写入的webshell也是php代码，如果使用strip_tags同样会被去除。

1.3K4 2

PHP 8.x 深入探讨PHP性能改进特性

联合类型：联合类型是一个新特性，允许PHP开发人员定义一个变量来保存一组类型中的任何一个。改进的错误处理：PHP 8.2对错误处理进行了许多改进，包括更好的错误消息和更优雅地处理错误的能力。...因此，属性不仅提高了PHP代码的质量，而且还促进了更高效和更精简的开发过程，从而在Web服务器上实现了性能更好的PHP应用程序。考虑一个在Web应用程序中验证用户输入的简单用例。...不能两次使用同一个参数名。如果没有为可选参数指定值，则将使用默认值。如果为可选参数指定值，则默认值将被忽略。...删除的扩展和功能 PHP 8.x及以后的版本已经删除了几个扩展和函数，这些扩展和函数要么被弃用，要么有更好的替代品。如果您的代码依赖于这些删除，则这些删除可能会导致兼容性问题。...例如 ext/ereg扩展已经被删除，以支持更高效的ext/pcre扩展。准备好重构代码以进行代码优化，从而使用更新的函数或替代方案。

3331 0

解决WordPress文章密码保护在首页（摘要）不起作用

这类问题都是，首页的文章上如果是摘要显示的或者截断输出的，如果是密码保护文章压根儿没有提示输入密码，直接跟没有那样输出。分析一般来说，WordPress 中输出文章都是用post_content)), 0,240,"...");?...> 解决解决的方法也很简单，给一个判断函数，判断是否为密码保护文章就可以了，WordPress 中有这个函数post_password_required，所以原来的代码应该改为下面这样： post_content)), 0, 340,"...")...> 其他情况也大概差不多，反正是对输出content 的函数下刀就可以了。其他文章：《自定义WordPress 密码文章提示文字》可能需要的。

1.8K8 0

新铸Wechat+友圈Bug修复

原文参考《用FreshRSS 实现友圈rss订阅》这里需要特别注意一下原作者提供的PHP代码中：域名后面需要加/p/，否则会报错：Login failed. 登录失败的问题。...以下是调整后的PHP代码，将 https://example.com 修改为自己的域名即可！ <?...$apiUrl = 'https://example.com/p/api/greader.<em>php</em>'; $loginUrl = $apiUrl ....无奈之下不得不重新优化原逻辑，调整之后的效果很棒。迄今为止没有发现过一次报错的情况，看来问题已经解决了！...一时兴起重写了朋友圈逻辑和样式，当然还没有集成到博客，因为原逻辑在优化之后没有问题了，所以暂时不打算折腾了，独立 Wechat 页看这里（左侧栏加了 Wechat 入口，全程实时更新）基站依然是 FreshRSS

691 0

PHP与Web页面交互操作实例分析

hobby元素是一个索引数组，数组中的元素是用户所选复选框对应的value属性值当用户未选中任何复选框时，$_POST数组中将不存在hobby元素 <!...，表单中name属性的命名可以采用多维数组的形式，便于开发，其使用方式与PHP中的数组非常相似例如，开发在线考试系统时，表单中有填空题、单选题、多选题、判断题等多种题型，这时可以将每种题型放到一个数组里面进行提交...例如，用户提交一段HTML代码时，为了将代码原样显示，需要将里面的特殊字符串转换为实体字符，防止被浏览器解析若没有对这些特殊字符进行处理，会给网站的安全带来风险。...nl2br()，echo nl2br(“123\n456”, false); strip_tags()可以去除字符串中的标记部分，通常用于读取一段HTML代码后，去除其中的HTML标记，只保留文本...》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》希望本文所述对大家PHP程序设计有所帮助。

3.6K2 0

WordPress添加关键词和描述标签

WordPress添加关键词和描述标签关键词和描述标签作为SEO的基础配置，在wordpress中没有默认添加，这里记录一下在Wordpress中自动添加关键词和描述标签的方法。...一、实现代码实现思路是使用标签来作为关键词，使用文章摘要作为页面描述，找到使用主题的functions.php文件，添加以下代码即可实现。...php echo strip_tags(category_description()); ?>"> <?php } else if (is_singular()) { ?...php echo strip_tags(get_the_excerpt()); ?>"> <?...php } } } add_action( 'wp_head', 'add_seo_meta_tags' ); 二、使用的前置要求请注意，需要保证主题的header.php调用过wp_head

5332 0

新手指南：DVWA-1.9全级别教程（完结篇，附实例）之XSS

，帮助web开发者更好的理解web应用安全防范的过程。...stripslashes(string) 函数删除字符串中的反斜杠。可以看到，对输入并没有做XSS方面的过滤与检查，且存储在数据库中，因此这里存在明显的存储型XSS漏洞。...> 相关函数说明 strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签，但允许使用标签。...最后附赠最近遇到的一个实例：一次有趣的XSS+CSRF组合拳 0×01 前言最近执着于渗透各种xx人才网，前两天在某网站上发现了一个极其鸡肋的XSS漏洞，本来以为没有太大的利用价值，没想到结合CSRF...0×03 CSRF带来的曙光在修改个人资料的过程中，抓包发现这个修改接口并没有任何的防CSRF机制，存在明显的CSRF漏洞： ?

7.2K5 1

PHP常用字符串函数用法实例总结

ucwords 将字符串中的每个单词的首字母转换为大写 ltrim/rtrim/trim 删除字符串左边的空白字符（或其他字符） <?...，见strstr strip_tags 从字符串中去除 HTML 和 PHP 标记去除所有 <?...php $str = '<p <a href="" hahaha</a </p '; echo strip_tags($str,'<a '); strpos 查找字符串首次出现的位置返回值ini...php echo str_repeat("-", 10); ? strlen 获取字符串长度 strpbrk 在字符串中查找一组字符的任何一个字符，查到后返回后面的字符串 <?...sha1 计算字符串的 sha1 散列值，默认40 字符长度的十六进制数字 hash hash(要使用的哈希算法，字符串); “md5″，”sha256″等希望本文所述对大家PHP程序设计有所帮助。

5412 0

tp中的M,D,C,A,I,S方法

D方法实例化模型类的时候通常是实例化某个具体的模型类,如果仅仅是对数据表进行基本的ＣＵＲＤ操作的话，可以使用Ｍ方法．由于不要加载具体的模型类，所以性能会更好．如果D方法没有找到定义的模型类，则会自动调用...->select(); 实例化其他模型类第一种因为没有模型类的定义,很难封装一些额外的逻辑方法.如果只是需要扩展一些通用的逻辑,可以尝试下面方法 $User = new CommonModel('User...我们经常要获取系统变量或者用户提交的数据.这些数据处理不好就会引起安全隐患,所以tp给我们提供了一个变量获取功能....']; // 获取server变量传统获取方法没有统一的安全机制,后期调整比较麻烦,更好的方式是在框架中统一使用I函数进行变量获取和过滤。...I方法的时候指定了过滤方法，那么就会忽略DEFAULT_FILTER的设置，例如: // 等同于 strip_tags($_GET['name']) echo I('get.name','','strip_tags

8581 0

WordPress主题制作（四）：制作头部模板header.php

我们可以提取这部分相似的代码，放到一个单独的文件header.php中，各个页面想用这部分代码的时候再用WordPress的get_header()包含进去就可以达到所有页面头部内容一致，不再需要给每个页面都写一次这部分代码了...，我们后期维护起来也至需要修改header.php即可。...在我们之前创建的主题目录wp-content\themes\Yii-Candy下新建一个文件header.php，我们提取出index.php中的头部代码复制粘贴到header.php中即可，下面的是目前...那为什么header.php 没有加载呢？因为这是WordPress的主题，是要被WordPress的主程序调用，经过层层解析才能把你的博客显示出来，而不是简简单单的html静态网页文件。...>" /> 添加wp_head 有些插件需要在网页头部执行一些类如添加一些js或css的动作，要让这些插件能够正常的工作，也让你的主题有更好的兼容性，你应该添加wp_head()函数。

1.2K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

php中的strip_tags没有帮助，需要一个更好的替代方案

1. 使用正则表达式

2. 使用 HTML Purifier

3. 使用 DOMDocument

4. 使用第三方库

应用场景

可能遇到的问题及解决方法

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐