使用PHP中的htmlspecialchars()函数避免XSS攻击。

XSS（跨站脚本）攻击是一种利用网站漏洞向用户浏览器中注入恶意脚本的攻击方式。当用户访问被注入脚本的页面时，脚本就会在用户浏览器中执行，从而导致用户受到攻击。

为了防止XSS攻击，我们可以使用PHP中的htmlspecialchars()函数来过滤用户输入的内容。htmlspecialchars()函数会对特殊字符进行转义，将其转换为HTML实体，从而避免恶意脚本的执行。

htmlspecialchars()函数的用法如下：

string htmlspecialchars ( string $string , int $flags = ENT_COMPAT | ENT_HTML401 , string | bool $encoding = ini_get("default_charset") , bool $double_encode = true )

该函数的 个参数是需要进行转义的字符串。第二个参数是可选的，用于指定转义的标志位，默认为ENT_COMPAT | ENT_HTML401，表示对双引号进行转义。第三个参数也是可选的，用于指定字符编码，默认为ini_get("default_charset")，即默认字符编码。第四个参数是可选的，用于指定是否对已经转义的字符进行再次转义，默认为true。

下面是一个示例，演示如何使用htmlspecialchars()函数来过滤用户输入的内容：

//获取用户输入
$input = $_GET['input'];

//过滤用户输入
$filteredInput = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');

//显示过滤后的内容
echo $filteredInput;

在上面的示例中，首先从用户的GET请求中获取用户的输入。然后，使用htmlspecialchars()函数对用户输入进行转义，转义后的内容存储在$filteredInput变量中。最后，将过滤后的内容显示给用户。

使用htmlspecialchars()函数可以有效地防止XSS攻击，因为它将特殊字符转义为HTML实体，这样即使用户输入了一些恶意脚本，也只会以文本的形式显示给用户，而不会被浏览器执行。这样就保护了用户的安全。

然而，使用htmlspecialchars()函数并不能完全防止XSS攻击。在某些情况下，攻击者可能会使用其他一些特殊的字符来绕过htmlspecialchars()函数的过滤。因此，除了使用htmlspecialchars()函数外，我们还可以结合其他安全措施来提高网站的安全性，比如对用户输入进行进一步的校验、使用内容安全策略（CSP）等。