エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
XSS フィルタリングしたPOSTの値をDBにinsertしビューファイルでそれを出力するときもhtmlspecialcharsで対策するべきですか? - Yahoo!知恵袋
記事へのコメント1件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
XSS フィルタリングしたPOSTの値をDBにinsertしビューファイルでそれを出力するときもhtmlspecialcharsで対策するべきですか? - Yahoo!知恵袋
「XSSフィルタリング」の内容が不明なのですが、HTMLタグを取り除くという意味でしょうか? その場合、ア... 「XSSフィルタリング」の内容が不明なのですが、HTMLタグを取り除くという意味でしょうか? その場合、アプリケーションの仕様により、二通りの考え方があります。 まず、「XSS可能なタグや属性は取り除くが無害なタグは取り除かない」という仕様の場合です。フィルタリングの結果「<s>安全</s>」という文字列ができたとします。この文字列には危険性はありません。 画面に「<s>安全</s>」と表示したい場合は、htmlspecialcharsを通してHTMLエスケープする必要があります。一方、「安全」という文字列に打ち消し線を引きたい場合は、htmlspecialchars関数は使えません。そのまま表示する必要があります。しかし、*常識敵に考えて* タグの一部を残すからには、タグの機能を使いたい場合でしょう。すなわち、htmlspecialcharsを通さないで、打ち消し線にするという仕様が一般
2014/01/31 リンク