什么是xss攻击：

叫跨站脚本攻击 ， XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的(Phishing)攻击而变得广为人知。对于，黑客界共识是：跨站脚本攻击是新型的““，而JavaScript是新型的“ShellCode”。

需要用户输入下面代码，提交表弟，就是xss攻击

如何防止：解决方案，有3个方案。

1、原生php,在所有需要入库的数据用htmlentities(  ) 处理。

2、TP5框架自带，在表单数据获取，比如$data=input( 'post.'  ,  '  ' ,  ' htmlentities '   )

3、在TP5自带配置文件 ,'default_filter'         => 'htmlentities',

注意，编辑器一般转换会2次转换，所以的让编辑器反转换：在模版文件变量后天添加

   |html_entity_decode