PHP防止XSS攻击：安全过滤输出内容方法

PHP防范XSS攻击的核心在于“上下文感知的输出编码”，而非输入过滤：必须在渲染阶段针对不同目标环境（HTML文本、属性值、JSON、JavaScript字符串、CSS或URL）选用严格匹配的防护手段——如`htmlspecialchars()`需强制指定`ENT_QUOTES | ENT_HTML5`和`UTF-8`编码，`json_encode()`须启用HEX转义标志，模板引擎中禁用`raw`绕过，JS拼接必须用`json_encode()`而非`htmlspecialchars()`；任何脱离上下文的“一刀切”转义或幻想靠`strip_tags`/正则清洗输入来一劳永逸，都会留下致命缺口。

htmlspecialchars() 是输出时防 XSS 的第一道防线

直接在 HTML 上下文中输出用户数据，不转义就等于给攻击者开了后门。PHP 自带的 htmlspecialchars() 是最常用、最轻量、也最容易用错的函数。

关键不是“用了没”，而是“参数对不对”：

• 必须显式传入 ENT_QUOTES | ENT_HTML5，否则单引号不转义， 这类 payload 仍可触发
• 必须指定字符编码（如 'UTF-8'），否则 PHP 可能按 ISO-8859-1 解析，导致多字节截断绕过
• 只对输出到 HTML 文本节点或属性值有效；如果插进