str=preg_replacequotvbscriptsiquot，quotVbscriptquot，$str 过滤script标签 str=preg_replacequotonaz+\s*=siquot，quotOn1=quot，$str 过滤script标签 str=preg_replacequot#siquot，quot＃quot，$str 过滤script标签，如javAsCriptalert清除空格，换行 function DeleteHtml$str st。

我给楼主吧 首先是过滤html，将html编码转换为实体编码 将特殊字符转成 HTML 格式param string $value 字符串或者数组 return array public static function htmlspecialchars$value return is_array$value ？ array_map#39khtmlspecialchars#39， $value preg_replace#39。

你可以看下这个函数是不是符合你的要求 strip_tags这个函数的作用是去除字符串中的html标签， 只留下内容。

可以使用strip_tags函数 lt？php rr = strip_tags$str，#39ltimgltaltpltbr#39echo $rr。

首先可以先过滤下post过来的值 如果不用用考虑安全问题就不必过滤了 下面是不考虑过滤的情况 ifisset$_POST#39submit#39 sel=$_POST#39sel#39？$_POST#39sel#39#39xsz#39username=$_POST#39username#39bianhao=$_POST#39bianhao#39下面开始查询 require#39configphp 加载数据库。

应该是你的数据在插入到数据库前或者是数据被读出来之后，被函数“htmlspecialchars”把“lt”这两个标记给转换成html代码即“lt”解决办法是，你在网站的程序那修改，就是要先看一下，是在哪个地方把数据转换掉的，那在那里把那个函数去掉就行了，像你这种情况的话应该是在插入数据之前就已经被转换。

lt？php$Html = @file_get_contents#395html#39$Html = preg_replace#39\s2，\ni#39， #39#39， $Html 过滤掉换行和2个以上的空格preg_match_all#39ltimg\s+^*src\s？=\s？\#39quot^\#39quot*\#39quoti#39， $Html， $Imageprint_r$Image图片，通常情况下，无论。

all#39ltli*？lt\li#39， $htmlStr ， $res$ret = preg_replace#39ltlilt\li#39， #39#39， $res00输出resvar_dump$res echo $ret最终输出的结果为首页在这个例子上题主所需要的值基本都可以用正则算法过滤出来 希望能帮到题主 如果可以，还请采纳。

一般css代码都保存在标签ltstyleltstyle之间，那么正则表达式如下pa = #39%ltstyle*？ltstyle%si#39下面的正则表达式，是匹配html中所有标签的，你可以进行替换，最终得到html的文本内容#39%ltstylescript^lt**？lt\1lt？azaz09*^lt*lt！*？%si#39。

XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来筛选用户数据达到保护用户数据的目的，这里主要使用的是对用户的数据进行过滤，一般过滤掉HTML标签，特别是a标签下面是一个普通的过滤方法 function transform_HTML $string ， $length null Helps prevent。

你写注册页面，如果要在这个页面验证并弹出提示框就要用到js，也可以提交给一个php页面处理，post到一个php文件，对注册信息进行过滤，符合就添加不符合继续注册，信息符合后就连接数据库，插入这条数据登录的时候实际上是做一个查询，看数据表中有没有你登录输入的数据，有就登录成功，没有就跳到登录。

lt？php$str = quotA #39quote#39 is ltbboldltbquot Outputs A #39quote#39 is ltbboldltbecho htmlentities$str Outputs A #039quote#039 is ltbboldltbecho htmlentities$str， ENT_QUOTES有啥作用一般是过滤用户输入 参考资料。

function xmlentities $string， $quote_style = ENT_QUOTES static $trans remove all html entities before xml encoding must convert all quotes to avoid remaining html entity in code $string = html_entity_decode$string， ENT_QUOTES xml encoding。

这个问题很简单啊因为你往数据库存储的时候，存储的就是ltbr，当你读出来的时候，是一个字符串，或者数组，这时候不会自动转移成php中的换行，就像你写声明一个字符串，例如$string = #39ltbr#39这时候字符串$string肯定不会是换行重点是html语言是浏览器解析，不是PHP解析。

使用php嵌套ifesle实现，下面是一个例子，看懂就能解决你的问题了 lt？php a = $_GET#39a#39这里获取一个get值，改成你的获取session echo $aif$a 0 判断有session ？ ltdiv id=quotaquota大于0ltdiv lt！有session输出这段 lt？php else 判断无session 。