htmlspecialchars/htmlentitiesの正しい使い方

(Last Updated On: 2018年8月16日)追記：このエントリは古い情報です。今のHTMLエスケープの情報は以下の新しいエントリを参照してください。 PHPのHTMLエスケープ PHP_SELFはそのまま出力できないに htmspecialchars($str, ENT_QUOTES); じゃなくて、 htmspecialchars($str); で終わらせてしまった場合の、 問題例が非常に欲しいです！！ とコメントを頂きました。 htmlspecialcharsとhtmlenties関数はENT_QUOTESを指定しないとENT_COMPAT（セキュリティ上問題があるが互換性を維持）が指定された状態と同じ動作をします。 ENT_QUOTESは”と’の両方をHTMLエンティティに変換するオプションです。ENT_COMPATは”のみHTMLエンティティに変換します。 JavaS

[s1061123]

“現在の標準からするとHTMLの属性は”で囲むべきですが、過去の経緯もあって”でも’でも使えるようになっているので不用意に’で属性を囲み、htmlspecialchars/htmlentitiesをENT_QUOTESオプション無しで使うとXSSに脆弱になりま

[MinazukiBakera]

とりあえず、XHTMLでも属性値を ' で括ることは出来るということ、SGML応用系のHTMLではscript要素内の文字参照が展開されないということを指摘しておきたい。HTMLの知識をもう少し強化してほしいです。

[ockeghem]

『HTMLの属性のみでなくPHPスクリプトからJavaScriptの変数に文字列を渡す場合に'を使い、htmlspecialcharsをオプション無しで使ってもXSSに脆弱になります』<XSS脆弱なことは確かにそうだが、ENT_QUOTESをつけてもダメ。でたらめ

[takami_hiroki]

htmlspecialchars($str, ENT_QUOTES, 'UTF-8');が正しい使い方

[okyawa]

htmlspecialcharsとhtmlenties関数はENT_QUOTESを指定しないとENT_COMPAT（セキュリティ上問題があるが互換性を維持）が指定された状態と同じ動作をしてしまうという解説

[miggit]

htmlspecialcharsとhtmlenties関数はENT_QUOTESを指定しないとENT_COMPAT（セキュリティ上問題があるが互換性を維持）が指定された状態と同じ動作をしてしまうという解説

[Akaza]

ENT_QUOTESフラグを付けるべき理由

[unieye51]

htmlspecialchars/htmlentitiesの正しい使い方 ENT_QUOTES

[sutara_lumpur]

PHPでのエスケープの方法

[noplans]

htmlspecialchars and htmlentities

[justsize]

なるほど。

[usj12262]

標準値のENT_COMPATは脆弱なのでENT_QUOTESを指定する。第3の引数もあれば完璧

[hiro_y]

エスケープに使用される関数について。

[koyhoge]

htmlのアトリビュートを ' ' でくくっている場合は注意