ユーザーからの入力は必ずチェックする 利用者が入力するデータは、不正なタグや命令が混入していないか必ずチェックしましょう。 サニタイズとは サニタイズとは、入力されたデータの危険な部分を無力化する操作のことです。 掲示板などでは、訪問者の入力データをそのまま表示すると、Javascript等のスクリプトが埋め込まれてしまう可能性があります。 スクリプト挿入を防ぐには、<のようなタグ(の一部分)を無害になるように変換したり、除去したりするサニタイズ作業が必要になります。 言語仕様により危険なタグ・記号が異なるので、個別言語ごとに対応するサニタイズ作業を行う必要が有ります。 HTMLサニタイズ 掲示板の投稿者にHTMLタグ利用を許可すると、有害サイトをiframeで表示したり、javascriptを埋め込んで自動実行したりされる危険があります。 HTMLタグを除去するには、htmlspecia