今天在改bug时，发现同事写的代码里存在跨站漏洞，于是加了个php防跨站函数htmlentities（）。

因为以前也没有认真分析过此函数，翻了下文档，想了解透测点。

Htmlentities() 转化所有适当字符为html实体

  函数说明：

string htmlentities ( string $string [, int $flags = ENT_COMPAT [, string $charset [, bool $double_encode = true ]]] )

string ：为输入需转换的字符

flags ：和htmlspecialchars()一样，第二个参数允许你定义单双引号将做什么。它需要是默认常数ENT_COMPAT的三个参数之一，可以结合第四个ENT_IGNORE

charset ：与htmlspecialchars()一样 ，它带有一个可选的第三个参数做为字符集转换，目前，默认ISO-8859-1字符集

double_encode ：当double_encode为关闭状态，php默认将一切都转换为html实体

返回值

返回已经编码的字符串

 html_entity_decode()与htmlentities()为反向函数，一个解码，一个编码。

 但是如果出现没有这些字符集呢？那么这个函数就不起作用了。那起不悲剧，于是还是自己再写个函数过滤下吧。

function inxss($url)
{
$arr = array('http','script','iframe','com','www');//过江的字符，呵，自由发挥吧。最好用正则处理，因为我的是在iframe的跨站，其实只要针对着不让它传入http://。。。这些url进来就行了
foreach($arr as $value)
{
if( strstr($url,$value))
{
exit;
}
else
{
return $url;
}
}
}
$url = htmlentities(inxss($_GET["url"]));双重过虑。呵

这样的话应该可以多了点安全