在Web开发中，PHP是一种广泛使用的服务器端脚本语言。而XSS（跨站脚本攻击）是一种常见且具有严重威胁性的Web安全漏洞，攻击者可以通过注入恶意脚本代码，在用户访问受影响的页面时执行恶意操作，如窃取用户的敏感信息等。为了有效防止XSS攻击，在PHP中对不同类型的数据进行差异处理是非常关键的。下面将详细介绍PHP防止XSS攻击时对不同类型数据的差异处理方法。

一、文本数据的处理

文本数据是Web应用中最常见的数据类型之一，对于一般的文本数据，我们需要对其中可能包含的特殊字符进行转义处理，以防止恶意脚本的注入。在PHP中，可以使用htmlspecialchars函数来实现这一目的。

示例代码如下：

$input = '<script>alert("XSS攻击")</script>';
$safeInput = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
echo $safeInput;

在上述代码中，htmlspecialchars函数将输入字符串中的特殊字符（如<、>、&等）转换为HTML实体，这样这些字符就不会被浏览器解析为HTML标签或脚本代码。ENT_QUOTES参数表示同时转换单引号和双引号，'UTF-8'指定了字符编码。

另外，如果需要处理大量的文本数据，为了提高性能，可以使用mb_convert_encoding函数结合htmlspecialchars函数。示例如下：

$input = '<script>alert("XSS攻击")</script>';
$input = mb_convert_encoding($input, 'UTF-8', mb_detect_encoding($input));
$safeInput = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
echo $safeInput;

mb_convert_encoding函数可以确保输入数据的编码为UTF-8，避免因编码问题导致的转义错误。

二、HTML数据的处理

当处理包含HTML标签的文本数据时，简单的转义可能会破坏HTML的正常显示。此时，可以使用HTML Purifier库来对HTML数据进行过滤和清理，只允许安全的HTML标签和属性通过。

首先，需要安装HTML Purifier库。可以通过Composer进行安装：

composer require ezyang/htmlpurifier

示例代码如下：

require_once 'vendor/autoload.php';

$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);

$input = '<script>alert("XSS攻击")</script>';
$safeInput = $purifier->purify($input);
echo $safeInput;

在上述代码中，HTMLPurifier库会自动过滤掉输入数据中的恶意脚本代码，只保留安全的HTML标签和属性。可以通过配置HTMLPurifier_Config来定制允许的标签和属性。例如：

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p,b,i,em,strong,a[href|title]');
$purifier = new HTMLPurifier($config);

$input = '<script>alert("XSS攻击")</script>';
$safeInput = $purifier->purify($input);
echo $safeInput;

上述代码中，通过设置'HTML.Allowed'选项，只允许p、b、i、em、strong和a标签，并且a标签只允许href和title属性。

三、URL数据的处理

URL数据在Web应用中也经常使用，如链接地址等。对于URL数据，需要对其中的特殊字符进行编码处理，以防止恶意脚本的注入。在PHP中，可以使用urlencode和rawurlencode函数来实现这一目的。

示例代码如下：

$input = 'http://example.com/?param=<script>alert("XSS攻击")</script>';
$safeInput = urlencode($input);
echo $safeInput;

urlencode函数会将输入字符串中的特殊字符（如空格、&、=等）转换为URL编码形式。而rawurlencode函数与urlencode函数类似，但它会将空格转换为%20而不是+。

在使用URL数据时，还需要注意对URL的来源进行验证，确保其是合法的。可以使用filter_var函数来验证URL的合法性。示例如下：

$input = 'http://example.com/?param=<script>alert("XSS攻击")</script>';
if (filter_var($input, FILTER_VALIDATE_URL)) {
    $safeInput = urlencode($input);
    echo $safeInput;
} else {
    echo '非法URL';
}

上述代码中，filter_var函数会验证输入的URL是否合法，如果合法则进行编码处理，否则输出提示信息。

四、JavaScript数据的处理

当需要将数据传递给JavaScript代码时，需要对数据进行特殊处理，以防止XSS攻击。可以使用json_encode函数将数据转换为JSON格式，然后在JavaScript中进行解析。

示例代码如下：

$data = '<script>alert("XSS攻击")</script>';
$safeData = json_encode($data);
echo '<script>var myData = ' . $safeData . '; console.log(myData);</script>';

在上述代码中，json_encode函数会将输入数据转换为JSON格式的字符串，并且会自动对其中的特殊字符进行转义处理。在JavaScript中，使用JSON.parse函数可以将JSON字符串解析为JavaScript对象。

另外，还可以使用addslashes函数对JavaScript数据进行转义处理。示例如下：

$data = '<script>alert("XSS攻击")</script>';
$safeData = addslashes($data);
echo '<script>var myData = "' . $safeData . '"; console.log(myData);</script>';

addslashes函数会在特殊字符（如单引号、双引号、反斜杠等）前添加反斜杠，以防止JavaScript代码的注入。

五、数据库查询数据的处理

在进行数据库查询时，需要对用户输入的数据进行过滤和转义处理，以防止SQL注入攻击，同时也可以间接防止XSS攻击。在PHP中，可以使用PDO（PHP Data Objects）来进行数据库操作，PDO会自动对查询参数进行转义处理。

示例代码如下：

$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');

$input = '<script>alert("XSS攻击")</script>';
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->bindParam(':username', $input, PDO::PARAM_STR);
$stmt->execute();

$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
foreach ($result as $row) {
    echo $row['username'];
}

在上述代码中，使用PDO的prepare和bindParam方法来进行数据库查询，PDO会自动对查询参数进行转义处理，避免了SQL注入攻击。同时，在输出查询结果时，也需要对数据进行过滤和转义处理，以防止XSS攻击。

综上所述，在PHP中防止XSS攻击时，需要根据不同类型的数据采取不同的处理方法。对于文本数据，使用htmlspecialchars函数进行转义处理；对于HTML数据，使用HTML Purifier库进行过滤和清理；对于URL数据，使用urlencode和rawurlencode函数进行编码处理；对于JavaScript数据，使用json_encode或addslashes函数进行转义处理；对于数据库查询数据，使用PDO进行操作并对输出结果进行过滤和转义处理。通过这些方法，可以有效地防止XSS攻击，提高Web应用的安全性。