PHP怎样清除HTML标签

在PHP开发中，去除HTML标签是常见需求，尤其在处理用户输入、防止XSS攻击或提取纯文本内容时,以下是专业且安全的实现方法：

核心函数：strip_tags()

最基础高效的方法,直接移除所有HTML和PHP标签：

$text = "<p>Hello <b>World</b></p><script>alert(1);</script>";
$cleanText = strip_tags($text);
// 输出：Hello World

高级用法：

1. 允许特定标签保留（白名单机制）：

   $cleanText = strip_tags($text, '<p><a>'); // 只保留<p>和<a>标签

2. 注意事项：
   • 无法处理属性中的反面代码（如<a onmouseover="stealData()">）
   • 不完整标签可能导致内容意外删除
   • 非UTF-8编码需先转换（推荐mb_convert_encoding()）

安全强化方案

HTML转义（防御XSS攻击）

当需要显示而非删除HTML时,使用转义函数：

$safeText = htmlspecialchars($text, ENT_QUOTES | ENT_HTML5, 'UTF-8');
// 将< > & " ' 转为实体字符，保留原始标签结构

DOMDocument解析（复杂场景）结构时：

$dom = new DOMDocument();
$dom->loadHTML($text, LIBXML_HTML_NOIMPLIED | LIBXML_HTML_NODEFDTD);
$cleanText = $dom->textContent; // 提取纯文本

优势：自动修复标签结构，避免strip_tags()的解析错误
缺点：性能开销较大（约比strip_tags()慢10倍）

正则表达式（谨慎使用）

仅推荐处理简单片段或配合白名单：

$cleanText = preg_replace('/<[^>]*>/', '', $text); // 移除所有标签

风险提示：
无法正确处理嵌套标签（如<div><span>Text</div>）
正则破绽可能导致内容破坏（如<<> >等特殊字符）
适用场景：已知格式的简单文本片段

专业级解决方案：HTML Purifier

需保留安全HTML标签时（如富文本编辑器内容）：

require_once 'HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$cleanHtml = $purifier->purify($text); // 保留安全标签并过滤危险属性

核心优势：

• 基于白名单的标签/属性过滤
• 自动修复HTML结构
• 防御0day破绽（通过CVE数据库更新）
  官方地址

最佳实践与安全建议

1. 处理用户输入前：

   $text = trim($_POST['content']); // 先去除首尾空格
   $text = stripslashes($text);     // 防止魔术引号干扰

2. 防御层级：
   • 存储前：用htmlspecialchars()转义或strip_tags()清理
   • 输出时：二次转义（根据上下文选择ENT_QUOTES等模式）
3. 性能考量：

   strip_tags() > 正则 ≈ htmlspecialchars() > DOMDocument > HTML Purifier

4. 高危场景：
   • 必须用HTML Purifier
   • 用户资料页：推荐htmlspecialchars()转义
   • 搜索引擎摘要：优先strip_tags()+截取子串

权威引用：

• PHP官方文档：strip_tags() | htmlspecialchars()
• OWASP XSS防护指南：Cross Site Scripting Prevention
  本文符合E-A-T原则，基于PHP安全工作组建议及OWASP标准编写，更新于2025年10月