我如何以及如何使用它?这真的是我需要阻止XSS攻击吗?有人可以解释htmlspecialchars,mysql_real_escape_string,htmlpurifier和其他形式的注射防御之间的区别.HTMLPurifier是否可以抵御JS攻击?
在典型的用例中,您不希望允许任何HTML.在这种情况下,您可以剥离标记等,但这样做不会保护您免受XSS(或SQL注入等).
如果您不想要HTML,您可以使用htmlspecialchars等来转义输出以防止XSS.在这种情况下,您还将使用SQL转义来防止SQL注入.
简单地剥离所有标记并始终使用htmlspecialchars通常更容易.
当您绝对必须允许HTML时,这就是HTMLPurifier的用途.