PHP 从字符串中删除脚本标签

在开发 Web 应用时，我们经常需要处理一些用户输入的数据。如果用户能够在输入中嵌入脚本标签，就有可能出现一些安全问题，比如 XSS 攻击。在 PHP 中，我们可以使用一些函数来过滤字符串中的脚本标签，以防止这些安全问题的发生。

常用的 PHP 函数

strip_tags

strip_tags 函数是 PHP 中用于删除 HTML 和 PHP 标签的函数，可以用来删除字符串中的脚本标签。该函数的基本用法如下所示：

$string_without_tags = strip_tags($string_with_tags);

该函数有一个可选的参数，可以指定需要保留的标签：

$string_without_script_tags = strip_tags($string_with_tags, '<b><i>');

上述代码将只保留 <b> 和 <i> 标签，并删除其他标签。

然而，strip_tags 函数并不能完全删除所有的脚本标签，比如 <script> 和 <style> 标签就无法被删除。

preg_replace

为了更彻底地删除字符串中的脚本标签，我们可以使用 preg_replace 函数，该函数可以使用正则表达式来匹配需要替换的字符串。下面是一个删除 <script> 和 <style> 标签的代码示例：

$string_without_script_tags = preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', '', $string_with_tags);
$string_without_style_tags = preg_replace('/<style\b[^>]*>(.*?)<\/style>/is', '', $string_without_script_tags);

以上代码使用正则表达式匹配了 <script> 和 <style> 标签，并将它们替换为空字符串。需要注意的是，正则表达式中的 \b 表示单词边界，[^>]* 表示匹配任意数量的非 > 字符，.*? 表示非贪婪匹配。最后的 is 标志表示忽略大小写，并将字符串视为单行。

总结

在 PHP 中删除字符串中的脚本标签可以使用 strip_tags 函数和 preg_replace 函数。其中 strip_tags 函数可以快速地删除大部分标签，而 preg_replace 函数则更加强大，可以使用正则表达式来匹配需要替换的字符串。因此，在处理用户输入时，我们应该选择适合自己需求的函数来保证应用的安全性。