如果我使用HTMLPurifier，是否仍然需要使用htmlentities？

如果您担心XSS攻击，那么请使用htmlspecialchars（没有理由使用完整的htmlentities）。这样可以确保您的安全。

echo htmlspecialchars($user_input);

如果您想允许一些HTML功能但仍然防止XSS，那么HTMLPurifier才有意义。但作为任何其他代码一样，存在可能在某些时候无法按照广告宣传的方式工作的可能性。个人而言，我不会这么做。

更新：

是的，htmlspecialchars支持其他附加标志（包括ENT_QUOTES）。但是，ENT_QUOTES仅在以下情况下需要：

• 您要输出HTML属性的值并且
• 您已将该值封装在单引号中

因此，例如，在此处您不需要使用ENT_QUOTES：

<p><?php echo htmlspecialchars($input); ?></p>

or here:

<p id="<?php echo htmlspecialchars($input); ?>"></p>

您需要在这里使用：

。

<p id='<?php echo htmlspecialchars($input, ENT_QUOTES); ?>'></p>

不同的目的。HP用于清理HTML，以便用户可以实际提交用作实际HTML的HTML。
如果您期望文本，并且不想将其用作HTML，则通常使用htmlspecialchars。它特别适用于可能以某种方式出现在标记属性中的文本字符串。
如果您只想显示文本，则应该更喜欢这个组合：

 htmlspecialchars(strip_tags($input), ENT_QUOTES, "UTF-8")

（那么显然，HP就没有意义了。 strip_tags()本身就足以防止XSS攻击，只要该内容仅在文本节点中输出，而不是在任何属性中输出。）

如果您希望用户能够编写HTML，则HTMLPurifier似乎是一个不错的解决方案——但从您的描述中，似乎您并不需要或希望用户输入HTML，在这种情况下，它根本不是解决方案（正如您所提到的，它允许例如div元素）。

另一方面，HtmlEntities会转义用户输入，因此对于大多数XSS和阻止HTML来说，这是正确的方法。但是，请注意，htmlEntities不能保护您免受所有XSS攻击。例如，如果您在HTML属性周围使用单引号并允许将用户输入插入属性值，则恶意用户可以通过传递'单引号字符来攻击您，从而转义您的引号。为避免这种情况，您需要使用ENT_QUOTES选项。PHP.net上的其他人也提到需要特别注意注释中的双破折号。