在php中修补xss漏洞，我们可以使用三个php函数。
这些函数主要用于清除html标志，这样就没办法注入代码了。使用更多的函数是htmlspecialchars() ，它可以将所有的"<"与">"符号转换成"&lt;" 与"&gt；"。其它可供选择的函数还有htmlentities(), 它可以用相应的字符实体（entities）替换掉所有想要替换掉的特征码（characters）。
php code:
<?
// 这里的代码主要用于展示这两个函数之间输出的不同
$input = '<script>alert(1);</script>';
echo htmlspecialchars($input) . '<br />';
echo htmlentities($input);
?>
htmlentities()的另一个例子
php code:
<?php
$str = "a 'quote' is <b>bold</b>";
echo htmlentities($str);
echo htmlentities($str, ent_quotes);
?>
第一个显示： a 'quote' is &lt;b&gt;bold&lt;/b&gt;
第二个显示：a 'quote' is &lt;b&gt;bold&lt;/b&gt;
htmlspecialchars()使用实例
php code:
<?php
$new = htmlspecialchars("<a href='test'>test</a>", ent_quotes);
echo $new;
?>
显示： &lt;a href='test'&gt;test&lt;/a&gt;
strip_tags()函数代替.删除所有的html元素（elements），除了需要特别允许的元素之外，如：<i>, <b> 或<p>.
strip_tags()使用实例
php code:
<?php
$text = '<p>test paragraph.</p><!-- comment --> other text';
echo strip_tags($text);
echo "\n";
// allow <p>
echo strip_tags($text, '<p>');
?>
现在我们至少已经知道有这些函数了，当我们发现我们的站点存在xss漏洞时就可以使用这些代码了。我最近在我的站点上的googlebig（一个mybb论坛的插件）视频部分发现了一个xss漏洞，因此我就在想如何使用这些函数写段代码来修补这个搜索漏洞。
old.qimaikj.com
首先我发现问题出在search.php这一文件上，现在让我们看看这个查询及输出查询结果中的部分代码研究一下：
php code:
function search($query, $page)
{
    global $db, $bgcolor2, $bgcolor4, $sitename, $io_db, $module_url, $list_page_items, $hm_index;
    $option = trim($option);
    $query = trim($query);  $query = fixquotes(nl2br(filter_text($query)));
    $db->escape_string($query);
    $db->escape_string($option);
        alpha_search($query);
    ...
在这种情况下，我们通过使用$query这一值作为变量，然后使用htmlentities（）这一函数：
php code:
    $query = fixquotes(nl2br(filter_text(htmlentities($query))));