防止服务端脚本和跨站脚本攻击（XSS）

永远不要向HTML流输出任何未经过htmlspecialchars()处理的数据位，这样就可以消除任何XSS风险。这是一个简单易行的规则，容易遵循。

虽然如此，作为程序员，这是您的工作。

您可以定义

function h(s) { return htmlspecialchars(s); }

如果在PHP文件中写100次htmlspecialchars()太长了。另一方面，使用htmlentities()则完全没有必要。
重点是：有代码和数据两种。如果你混合使用它们，则会发生不好的事情。
对于HTML来说，代码是元素、属性名、实体、注释。数据则是其他所有内容。数据必须进行转义以避免被误认为是代码。
对于URL来说，代码是协议、主机名、路径、查询字符串的机制（包括?、&、=、#）。数据是查询字符串中的所有内容：参数名称和值。确保它们不被错认为是代码，必须进行转义。
嵌入HTML中的URL必须进行双重转义（通过URL转义和HTML转义），以确保代码和数据正确分离。
现代浏览器能够将极其错误或不正确的标记解析为有用的东西。虽然这种能力很强大，但也不应过度依赖。某些事情之所以能够工作（如未对<a href>中的URL进行适当的HTML转义），并不意味着这样做就是好的或正确的。跨站脚本攻击是一个问题，起因是a）人们不知道数据/代码分离（即"转义"），或者他们粗心大意，以及b）试图聪明地规避数据中无需转义的内容。
只要确保不属于a）和b）类别，就可以轻松避免跨站脚本攻击。

我认为Google-caja可能是一个解决方案。我编写了一款用于检测和自动预防Java Web应用程序中的XSS攻击的污点分析器，但不适用于PHP。我认为学习使用caja对Web开发人员来说是个好东西。

没有。风险取决于您对数据的处理方式，您无法编写使数据对所有情况都安全的程序（除非您想丢弃大部分数据）。

有没有一个简单的代码或函数可以对所有情况进行故障保护？
没有。
离开 PHP 的数据表示必须根据其去向进行特定的转换/编码。因此，应该仅在离开 PHP 的地方进行转换/编码。
C.

你可以参考OWASP来更深入了解XSS攻击。

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

为了避免 JavaScript 攻击，你可以尝试使用开源卓越提供的这个项目。

https://www.opensource-excellence.com/shop/ose-security-suite.html

我的网站以前遭受过JS攻击，但是这个工具每天都帮我阻止所有的攻击。我认为它可以帮助你们避免这个问题。

此外，你可以在你的PHP脚本中添加一个过滤器来过滤所有的JS攻击，这里有一个可以完成任务的模式：

if (preg_match('/(?:[".]script\s*()|(?:\$\$?\s*(\s*[\w"])|(?:/[\w\s]+/.)|(?:=\s*/\w+/\s*.)|(?:(?:this|window|top|parent|frames|self|content)[\s*[(,"]\s[\w\$])|(?:,\s*new\s+\w+\s*[,;)/ms', strtolower($POST['VARIABLENAME']))) { filter_variable($POST['VARIABLENAME']); }

回答你的问题：除了<>符号以外，其他都与XSS无关。而htmlspecialchars()可以处理它们。
页面文本中出现DROP table这个词并不会造成任何伤害 ;)

为了清洁用户数据，请使用html_special_chars(); str_replace()和其他函数来剪切不安全的数据。