直接用 strip_tags() 会导致数据错乱,因其不处理 HTML 实体编码(如 )、丢失换行与样式语义,且无法还原原始语义;正确流程是 html_entity_decode() → strip_tags() → preg_replace() 规范空白。
为什么直接用 strip_tags() 会导致数据错乱
班级通信录 Excel 或 CSV 导入时,常混入富文本编辑器导出的 HTML(比如姓名列含 张三),直接用 strip_tags() 看似简单,但会丢失换行、空格、内联样式语义(如“*紧急联系人*”被标粗),更严重的是:它不处理实体编码( 、zuojiankuohaophpcn)——导入后可能变成“张三 李四”或“ail>xxx@xx.com”,而非预期的纯文本。
推荐组合:先解码再剥离再规范化
正确顺序是:html_entity_decode() → strip_tags() → preg_replace() 清理残留空白。关键点在于:
-
html_entity_decode($str, ENT_QUOTES | ENT_HTML5, 'UTF-8')必须显式指定编码,否则女类中文实体会解码失败 -
strip_tags()的第二个参数可白名单保留,但通信录字段(如“家庭地址”)通常不需要,建议留空彻底剥离 - 剥离后用
preg_replace('/[\r\n\t]+/', ' ', $str)合并多空行,再trim()首尾空格,避免“王五 ”这种不可见字符入库
Excel 导入时 HTML 标签藏得更深?注意 phpspreadsheet 的默认行为
用 PhpSpreadsheet 读取 .xlsx 文件时,即使单元格显示为纯文本,其原始值($cell->getValue())仍可能是带格式的 HTML 字符串(尤其从网页复制粘贴进 Excel 的情况)。此时不能依赖 getFormattedValue(),它可能返回空或错误格式。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 优先用
$cell->getCalculatedValue()获取去格式化后的字符串值 - 若仍含 HTML,立即套用上一节的「解码→剥离→净化」三步流程
- 对电话、邮箱等强格式字段,额外加
filter_var($val, FILTER_SANITIZE_NUMBER_INT)(电话)或filter_var($val, FILTER_SANITIZE_EMAIL)(邮箱),防注入和误存
过滤后还要校验?别跳过空值和超长字段检查
HTML 剥离可能导致字段意外变空(例如原内容全是 解码后变成空格,trim() 后长度为 0。这类空值若直接插入数据库,可能违反 NOT NULL 约束或造成逻辑错误。
必须在过滤后立即验证:
- 用
strlen($name) === 0判空(不用empty(),它会把 "0" 当 false) - 对姓名、班级名等字段设长度上限(如
mb_strlen($name, 'UTF-8') > 32),防止恶意填充千字文式数据 - 记录原始含标签值到日志(
error_log("Raw name: {$raw_name}");),便于后续排查清洗异常
真正麻烦的不是标签本身,而是同一份导入文件里,有的单元格走富文本路径,有的走纯文本路径,还有的混着 Markdown 和 HTML —— 过滤逻辑必须按字段单独配置,不能一套正则打天下。
