在PHP中防止XSS(跨站脚本攻击)的主要方法

在PHP中防止XSS(跨站脚本攻击)的主要方法有以下几种：

1. htmlspecialchars()函数
   这是最常用的方法，可以将特殊字符转换为HTML实体：

$clean_input = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

2. htmlentities()函数
   比htmlspecialchars更彻底，转换所有HTML字符实体：

$clean_input = htmlentities($user_input, ENT_QUOTES, 'UTF-8');

3. 使用Content Security Policy(CSP)
   通过HTTP头限制可执行脚本的来源：

header("Content-Security-Policy: default-src 'self'");

4. 过滤输入数据
   使用filter_var()函数：

$clean_input = filter_var($user_input, FILTER_SANITIZE_STRING);

5. 使用模板引擎
   如Twig、Blade等会自动转义输出

6. 设置HTTP-only Cookie
   防止通过JavaScript访问敏感Cookie：

setcookie('name', 'value', time()+3600, '/', '', false, true);

最佳实践是：

• 对所有用户输入进行验证和过滤
• 在输出到HTML前进行转义
• 使用白名单而非黑名单验证
• 保持PHP和所有库的最新版本

需要特别注意在以下场景必须处理：

• 直接输出用户输入到HTML
• 在JavaScript中使用用户输入
• 在URL中使用用户输入
• 在CSS中使用用户输入