php - htmlentities 或 htmlspecialchars 或 stripslashes？使用哪一个？

Question

当我将用户输入数据插入我使用的 mysql 数据库时，mysql_real_escape_string. 输入数据包含 bbcode 例如[img][/img]。

下面是输出 html 时的一行。

    $information = $this->bbcode(stripslashes($this->swearfilter($row['information'])),1);
   echo $information;

关于这个例子，这是防止 XSS 攻击的正确方法还是我使用htmlspecialchars($var,ENT_QUOTES)or htmlentities？

Answer 1

用于htmlspecialchars()防止 XSS 攻击

Answer 2

$message = preg_replace('#\[img\](.*?)\[/img\]#', '<img src="$1" />', $message);  

防止 XSS 攻击