PHP表单过滤：HTML标签与特殊字符过滤

在PHP中，可以使用htmlspecialchars函数对HTML标签和特殊字符进行过滤。

htmlspecialchars函数可以将特殊字符转换为HTML实体，防止被解析为HTML标签。该函数的语法如下：

string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = true ]]] )

其中，$string参数是要过滤的字符串，$flags参数是可选的过滤选项，$encoding参数是可选的字符编码，$double_encode参数指定是否对已经转换的实体进行再次转换。

例如，将表单提交的数据进行过滤：

$name = htmlspecialchars($_POST['name']);
$email = htmlspecialchars($_POST['email']);

这样可以确保用户输入的内容不会被解析为HTML标签，从而防止XSS攻击。

另外，还可以使用strip_tags函数去除HTML标签，只保留纯文本。该函数的语法如下：

string strip_tags ( string $str [, string $allowable_tags ] )

其中，$str参数是要过滤的字符串，$allowable_tags参数是可选的允许保留的标签。

例如，只保留纯文本内容：

$content = strip_tags($_POST['content']);

这样可以确保用户输入的内容不包含任何HTML标签。

需要注意的是，过滤只是一种安全措施，不能完全防止所有攻击。在处理用户输入时，还应该进行其他安全性检查和验证，以确保数据的完整性和安全性。