なぜ出力時のHTMLエスケープを省略してはならないのか - Qiita

メリークリスマス！ 週末もPHPを楽しんでますか？ ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね！ メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを

[taruhachi]

補足として、「DB中に永続化されたデータはエスケープされていない生データである」事は重要。Webからのhttpリクエストとしてポストされたデータだけじゃなくて、他システムからダンプされたデータも信用しちゃダメ。

[sotarok]

散々繰り返された話題だけど、2022年版という感じで最近の事情も踏まえてアップデートしてあって綺麗にまとまった良い記事だった

[totoronoki]

“Don't say "lazy"のような " を内包する文字列をそのままでは表記できません。”例えにけいおんが出てきて堅い話が若干柔らかくなった。

[strawberryhunter]

JSON色付け係が主流な昨今に始めた人はHTMLエスケープを全然知らなくても不思議ではないのではないか。

[tohokuaiki]

WordPressは昔コード見た時にこれが相当ぐっちゃぐちゃで、生で出そうとしたら変なエスケープかかって悩んだことあるな。結局マトモにはやらなかった。

[rryu]

HTMLのSCRIPT要素の中にJSONを埋め込むにはJSとHTMLの二重のエスケープが必要になり結構難しい。

[tmyk_kym]

Google検索で1位に出てきてほしい記事だ. これでGoogle広告で出す価値ある.

[miruto]

当たり前のことだけど大事。クロスサイトリクエストフォージェリ（CSRF）対策も忘れずに！

[tamanecoplus]

メモリ内の文字列をどこの世界に埋め込むかでエスケープの種類は変わる（HTML/URL/JavaScriptなど）。HTML内だからといってHTMLエスケープだけとは限らない

[tmatsuu]

HTMLであれSQLであれJSONであれ、それを使うところ（もしくはその直前）でエスケープ相当の処理を行う原則を守ればokとの認識。

[shikiarai]

一応毎年復習しつつ後輩が知ってるか確認するやつ

[lemon32]

bladeに余計なロジックを入れたくない場合、安全であればエスケープしない方が楽な場合がある

[takuya_1st]

xssはブラウザが防止機能持ってるよね？ある程度だけど

[otchy210]

記事中でも触れられてるように、モダンなテンプレートエンジンはエスケープするのがデフォルトなので、そこから入った人はそういう意識を持ってなさそう。なので、今改めてこういう記事が上がるのは良い事だと思う。

[xlc]

「サニタイズ」という出す輩は問題の本質を理解していないんだよね。

[yarumato]

“永続化データはエスケープすべきではない。エスケープ済み／未エスケープの値が混在するので。　まずは安全なウェブサイトの作り方を参照しましょう。フレームワークを使わないPHPの例。”

[hirorinya]

学び