PHPのJSONのエスケープ

(Last Updated On: 2023年12月8日) 追記：最近のOWASPガイドの更新でJavaScript文字列はUnicodeエンコードで安全性を確保するよう変更されました。元々このブログでもUnicodeエスケープのまま利用するように書いています。他の言語のユーザーはUnicodeエスケープを利用しましょう。PHPもASCII領域の文字をUnicodeエスケープするようにした方が良いと思います。これは提案して実現するように努力します。 JSONはJavaScriptのオブジェクトや配列を表現する方式でRFC 4627で定義されています。メディアタイプはapplication/json、ファイル拡張子はjsonと定義されています。 PHPにJSON形式のデータに変換するjson_encode関数とjson_decode関数をサポートしています。 JSON関数がサポートされている

[teramako]

ECMAScript6thではECMA-404を参照していてRFCは参照していないので注意

[n2s]

めんどいな、PHP

[teckl]

こちらもメモ。 > 最近のOWASPガイドの更新でJavaScript文字列はUnicodeエンコードで安全性を確保するよう変更されました

[tvsk]

“JSONを出力する場合、JavaScriptとしてのみ評価されるコンテクストなのか、HTMLとして評価されてからJavaScriptとして評価されるコンテクストなのかを注意しなければなりません”

[sunaoka]

json_encode($val, JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT);

[takun71]

デフォルトでやってくれよPHP…

[muddydixon]

[[json][escape][javascript][security][rfc4627]

[raimon49]

json_encode()に渡すオプション　JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT

[slywalker]

CakePHP2.xはRFC4627に準拠してない。PHP5.2をサポートしているためかな。 https://github.com/cakephp/cakephp/blob/master/lib/Cake/View/JsonView.php#L151

[tiadeen2]

「MIMEタイプをapplication/jsonまたはtext/javascriptに設定すればJavaScriptとしてのみ評価」ということでMIMEを返さずにJSONを出力する時のjson_encode関数のオプションについて。(MIMEを返しててもやった方がいいかも)

[Jxck]

JSON の escape まわり。

[k-holy]

symfony/http-foundationのJsonResponseも同様にRFC4627準拠 https://github.com/symfony/HttpFoundation/blob/master/JsonResponse.php

[razokulover]

この前はまったやつだ。

[red_snow]

うーん・・

[poppun1940]

JSONはJavaScriptのオブジェクトや配列を表現する方式でRFC 4627で定義されています。メディアタイプはapplication/json、ファイル拡張子はjsonと定義されています。 PHPにJSON形式のデータに変換するjson_encode関数とjson_decode関数をサ

[maisenakajima]

PHPのjson_encode関数でJSONデータを作る場合、JSON_HEX_TAG | JSON_HEX_AMP | JSON_HEX_APOS | JSON_HEX_QUOT をオプションに指定する。

[kibitaki]

ううう。こういうのが。

[ya--mada]

なんかメンドーそうだな。後で読む

[efcl]

"JSON Pointerの標準では / , ~ が特別な意味を持っている"