PHPのhtmlspecialcharsにはENT_QUOTESを付ける:phpspot開発日誌

htmlspecialchars ( ) でセキュリティ対策（ ENT_QUOTES もね！） PHPのhtmlspecialcharsにはENT_QUOTESを付ける。 htmlspecialchars でXSS対策をしていたと思ったら、デフォルトでは シングルクオートをエスケープしてくれない(マニュアル参照) htmlspecialchars($str, ENT_QUOTES); ENT_QUOTES を指定することで、シングルクオートも ' にエスケープ出来ます。 ZAPAブロ〜グのZAPAさんの指摘するh関数を定義してフレームワークなどに組み込んでおくのがスマートなのかもしれませんね→htmlspecialchars関数を簡単にする 意外に知られていないかもしれないので、念をのため紹介しておきます。(知っている人はごめんなさい) その危険な例をしめしてみます。 例えば、h

[tomoworks]

ふむふむふむ。

[conversation]

ま　た　G　ス　ポ　ッ　ト　か

[cubed-l]

趣旨はともかく取り上げた例が悪かったなぁ。↓と↓↓が流石にわかりやすい

[ockeghem]

まずJavaScriptのリテラルとしてエスケープしないとね。http://d.hatena.ne.jp/ockeghem/20070514/117915965などを参照されたい。もっともJavaScript内のリテラルをエスケープするのは煩雑なので別の方法をとった方がいいよ

[Quadrifogrio]

http://phpspot.org/blog/archives/2007/01/php_71.html

[fuktommy]

Smarty使うなら{$assigned|escape}にしとけ。PHP側でエスケープするとあとで混乱する。2重エスケープしたり、し忘れたり。ただonclickの場合は何か罠がありそうだな。

[pha]

ブコメも含め

[sankaseki]

[!GTD::資料(いつか使う)]PHPのhtmlspecialcharsにはENT_QUOTESを付ける:phpspot開発日誌

[tockri]

いやいやSmartyだったら |escape ってやればENT_QUOTESつきなので例としてちょっと変な感じ