在PHP中修補(bǔ)XSS漏洞，我們可以使用三個(gè)PHP函數(shù)。
這些函數(shù)主要用于清除HTML標(biāo)志，這樣就沒辦法注入代碼了。使用更多的函數(shù)是htmlspecialchars() ，它可以將所有的"<"與">"符號(hào)轉(zhuǎn)換成"&lt;" 與"&gt；"。其它可供選擇的函數(shù)還有htmlentities(), 它可以用相應(yīng)的字符實(shí)體（entities）替換掉所有想要替換掉的特征碼（characters）。

PHP Code:

// 這里的代碼首要用于展現(xiàn)這兩個(gè)函數(shù)之間輸出的不一樣  
$input = '';  
echo htmlspecialchars($input) . '  
';  
echo htmlentities($input);  
?>  
htmlentities()的另一個(gè)例子  
PHP Code:  
$str = "A 'quote' is bold";  
echo htmlentities($str);  
echo htmlentities($str, ENT_QUOTES);  
?>  
***個(gè)顯示： A 'quote' is <b>bold</b>  
第二個(gè)顯示：A 'quote' is <b>bold</b>  
htmlspecialchars()運(yùn)用實(shí)例  
PHP Code:  
$new = htmlspecialchars("Test", ENT_QUOTES);  
echo $new;  
?>  
顯示： <a href='test'>Test</a>  
strip_tags()函數(shù)替代.刪除一切的HTML元素（elements），除了須要特別準(zhǔn)許的元素之外，如：, 或  
.  
strip_tags()運(yùn)用實(shí)例  
PHP Code:  
$text = '  
Test paragraph.  
Other text';   
echo strip_tags($text);  
echo "\n";  
// allow  
 
echo strip_tags($text, '  
');  
?> 

現(xiàn)在我們至少已經(jīng)知道有這些函數(shù)了，當(dāng)我們發(fā)現(xiàn)我們的站點(diǎn)存在XSS漏洞時(shí)就可以使用這些代碼了。我最近在我的站點(diǎn)上的GoogleBig（一個(gè)Mybb論壇的插件）視頻部分發(fā)現(xiàn)了一個(gè)XSS漏洞，因此我就在想如何使用這些函數(shù)寫段代碼來修補(bǔ)這個(gè)搜索漏洞。
首先我發(fā)現(xiàn)問題出在search.php這一文件上，現(xiàn)在讓我們看看這個(gè)查詢及輸出查詢結(jié)果中的部分代碼研究一下：

PHP Code:

function search($query, $page)  
{  
global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;  
$option = trim($option);  
$query = trim($query);  
$query = FixQuotes(nl2br(filter_text($query)));  
$db->escape_string($query);  
$db->escape_string($option);  
alpha_search($query);  
... 

在這種情況下，我們通過使用$query這一值作為變量，然后使用htmlentities（）這一函數(shù)：

PHP Code:

PHP Code:  
$query = FixQuotes(nl2br(filter_text(htmlentities($query)))); 

如果你對(duì)這三種函數(shù)還有有疑問可以使用PHP手冊(cè)來查看：
http://it.php.net/htmlentities
http://it2.php.net/htmlspecialchars
http://it2.php.net/strip_tags