过滤操作是指，数据入库之前，通过转义的方法或删除的方法，过滤删除不安全的字符。过滤操作对于系统和数据安全是至关重要的，假如网站提供的交互表单，没有过滤操作，那么恶意的攻击者就可以轻松的进行网站攻击：

比如在评论框输入如下内容：这是我的评论内容 <script>alert(‘hello 5izixue’)</script>
这个评论内容，如果不进行过滤操作。那么提交后就会以脚本的形式保存下来。如果恶意攻击者，刻意的加入一些危害系统安全的代码，后果会很严重。

所以，我们需要进行数据过滤。那么PHP中常用的过滤操作有哪些呢，可以使用htmlentities或者htmlspecialchars函数来过滤html交互模块上传的内容，把特殊字符转换成对应的html实体。

htmlentities这个函数转换所有含有对应“html实体”的特殊字符，比如货币表示符号欧元英镑等、版权符号等，htmlspecialchars 只是把某些特殊的字符转义了， & ” ‘ < >。

这2个过滤转义函数，默认是不会转义单引号的。

需要转义单引号，需要设置第2个参数 ENT_QUOTES，具体可以看php手册

可用的引号类型：

ENT_COMPAT – 默认。仅编码双引号。
ENT_QUOTES – 编码双引号和单引号。
ENT_NOQUOTES – 不编码任何引号。

无效的编码：

ENT_IGNORE – 忽略无效的编码，而不是让函数返回一个空的字符串。应尽量避免，因为这可能对安全性有影响。
ENT_SUBSTITUTE – 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD（UTF-8）或者 &#FFFD; 的字符，而不是返回一个空的字符串。
ENT_DISALLOWED – 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD（UTF-8）或者 &#FFFD;。

为说明htmlentities和htmlspecialchars的区别，可以使用下方有特殊字符的代码：

echo htmlentities(‘€ <>”‘); //全部转义
echo “<hr/>”;
echo htmlspecialchars(‘€ <>”‘); //€不会转义

结论：做表单交互时，用户上传的数据一定要做转义过滤。富文本编辑器需要保留html标签，可以用htmlspecialchars对提交数据进行过滤，一般表单提交的时候可以用strip_tags去除html标签。