在PHP中，防止XSS（跨站脚本攻击）注入通常涉及几个关键的措施。XSS攻击是通过在网页中嵌入恶意脚本代码来执行的，最常见的方式是通过用户的输入数据。以下是一些防止XSS攻击的方法：

1. 输入验证和清理

确保所有用户输入都经过验证和清理，以去除或转义可能被解释为HTML或JavaScript的字符。

示例：
function sanitize_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data, ENT_QUOTES, ‘UTF-8’);
return $data;
}

$user_input = sanitize_input($_POST[‘user_input’]);
2. 使用适当的数据绑定和模板引擎

使用如Twig、Smarty等模板引擎，它们可以帮助自动转义输出到HTML的数据，减少直接在PHP代码中处理HTML的风险。

示例（使用Twig）：
<p>{{ user_input|escape }}</p>
3. 设置HTTP头部

通过设置HTTP头部，可以指示浏览器如何处理内容，例如禁止脚本执行。

示例：
header(‘Content-Security-Policy: default-src \’self\”);
header(‘X-Content-Type-Options: nosniff’);
header(‘X-XSS-Protection: 1; mode=block’);
4. 使用适当的编码函数

对于输出到HTML的内容，使用htmlspecialchars()函数来转义特殊字符。

示例：
echo htmlspecialchars($user_input, ENT_QUOTES, ‘UTF-8’);
5. 使用JavaScript库的转义功能

如果你在JavaScript中使用数据，确保使用库如jQuery的$.text()方法来转义字符串。

示例（使用jQuery）：
$(‘#element’).text(user_input);
6. 避免使用eval()和innerHTML等危险函数

避免使用eval()函数和直接操作DOM的innerHTML属性，因为这些可以直接执行恶意代码。

7. 使用框架的安全功能

如果你使用如Laravel、Symfony等PHP框架，利用它们提供的安全功能来自动处理XSS攻击。这些框架通常提供内置的转义和清理机制。

示例（Laravel）：
{{ $user_input }} // 自动转义输出到HTML的内容

通过实施上述措施，你可以大大降低你的PHP应用受到XSS攻击的风险。始终确保对所有用户输入进行适当的处理和验证，并使用现代的安全实践来保护你的应用。