在PHP开发中,去除HTML标签是常见需求,常用于防止XSS攻击、提取纯文本内容或简化数据存储,以下是四种专业方法及适用场景:
strip_tags() 函数(基础场景)
原理:移除所有HTML/XML标签,保留纯文本
示例:
$html = "<p>Hello <b>World</b>!</p><script>alert('XSS');</script>";
$cleanText = strip_tags($html);
echo $cleanText; // 输出: Hello World!
特点:
- ✅ 简单高效,适合基础清理
- ❌ 无法过滤属性中的恶意脚本(如
onerror="alert(1)") - ❌ 可选保留特定标签(第二参数):
strip_tags($html, '<p><a>'); // 只保留<p>和<a>标签
htmlspecialchars() 函数(防XSS攻击)
原理:将特殊字符转为HTML实体(如 < → <)
示例:
$text = '<img src=x onerror="alert(1)">'; $safeOutput = htmlspecialchars($text, ENT_QUOTES, 'UTF-8'); echo $safeOutput; // 输出: <img src=x onerror="alert(1)">
特点:
- ✅ 彻底阻断HTML标签渲染
- ✅ 适合输出到HTML页面(非破坏性转换)
- ❌ 结果非纯文本,需结合其他方法处理
DOMDocument 类(精准控制)
原理:解析HTML结构后提取文本内容
示例:
$html = '<div>保留<b>重要</b>文本<script>删除脚本</script></div>'; $dom = new DOMDocument(); @$dom->loadHTML($html, LIBXML_HTML_NOIMPLIED | LIBXML_HTML_NODEFDTD); $cleanText = $dom->textContent; echo $cleanText; // 输出: 保留重要文本
特点:
- ✅ 精准处理嵌套标签
- ✅ 可扩展性强(如结合XPath过滤)
- ❌ 性能开销较大,需处理解析错误(用抑制警告)
正则表达式(谨慎使用)
原理:通过模式匹配替换标签
示例(仅演示基本逻辑):
$text = '<div>内容<a href="#">链接</a></div>';
$stripped = preg_replace('/<[^>]*>/', '', $text);
echo $stripped; // 输出: 内容链接
风险提示:
- ❌ 正则难以覆盖所有HTML边缘情况(如单引号属性、注释)
- ❌ 可能意外破坏合法内容(如数学公式
<a>b) - ✅ 仅建议处理简单可控内容
关键决策建议
| 场景 | 推荐方法 | 原因 |
|---|---|---|
| 快速提取纯文本 | strip_tags() | 性能最优,简单场景可靠 |
| 用户输入输出到页面 | htmlspecialchars() | 完整防XSS,保留原始内容 |
| 复杂HTML/需精细控制 | DOMDocument | 解析准确,避免正则陷阱 |
| 已知格式的简单文本 | 正则表达式 | 灵活但需严格测试 |
- 输入过滤:对用户提交内容先用
strip_tags()或htmlspecialchars()初步清理 - 输出转义:在渲染到页面时,始终用
htmlspecialchars()处理动态内容 - 深度防御:关键操作(如富文本存储)应结合HTML净化库(如HTML Purifier)
引用说明:本文方法参考PHP官方文档的字符串处理函数[^1]及OWASP XSS防护指南[^2],DOMDocument用法遵循W3C DOM标准[^3],正则表达式方案基于PCRE语法规范[^4],但因其风险不推荐为首选。
[^1]: PHP: strip_tags – Manual, https://www.php.net/manual/en/function.strip-tags.php
[^2]: OWASP Cross-Site Scripting Prevention, https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
[^3]: W3C DOM Standard, https://www.w3.org/DOM/
[^4]: PCRE Regex Syntax, https://www.pcre.org/original/doc/html/pcrepattern.html
原创文章,发布者:酷盾叔,转转请注明出处:https://www.kd.cn/ask/35518.html
