htmlspecialchars | teratail

htmlにphpの変数の中身を表示するときhtmlspecialcharsを噛ませて
悪意のある値を無力化するというのは理解できたのですが
現在、例えば法人名で「＆」が & と変換されて表示されます。
ここは&だけが出て欲しいのですが良い方法、メジャーなやり方にはどのようなものがありますか？

行動規範の内容に同意します

回答3件

ベストアンサー

htmlにphpの変数の中身を表示するときhtmlspecialcharsを噛ませて
悪意のある値を無力化するというのは理解できたのですが

違います。

html の中にただのテキストとして表示させたい値を出力する場合、html という言語の規則に則った変換を行なう必要があり、その変換を行なうのが htmlspecialchars です。

例えば法人名で「＆」が & と変換されて表示されます。

という文章に悪意はありませんが、htmlspecialchars を通さなければ、あなたが意図した通りの表示になりません。あなたに悪意はないですし、↑の入力値に悪意もないと思いますが、htmlspecialchars を通す必要があります。神のような存在がこの世界からすべての悪意を取り払ったとしても htmlspecialchars は必要です。

（tetatail は PHP ではないと思いますが(^_^;)）

例えば法人名で「＆」が & と変換されて表示されます。

htmlspecialchars が重複して処理されていると考えられます。同じ入力値に対して２回 htmlspecialchars が実行されていませんか？

htmlspecialchars は値を html に出力するときに１回だけ実行する必要があります。

投稿2015/07/21 10:43

編集2015/07/29 07:10

ngyuki

総合スコア4516

tozjp

2015/07/21 11:27

少し補足させていただくと、 CDATA 形式のコンテンツを持つ要素では htmlspecialchars() 関数を挟むと正常に出力されないケースがあります。 http://bakera.jp/ref/html/data/cdata たいていは script タグですね。もし script タグ内に対して出力するなら htmlspecialchars() ではなく json_encode() でエンコードすると良いでしょう。そこに出力することの良し悪しには言及しませんが。

ngyuki

2015/07/21 11:32

そうですね・・script タグの中への出力は鬼門ですね。。。個人的には適当な要素の data Attribute に htmlspecialchars(json_encode()) で出力して、js で JSON.parse() するのが安全で良いと思います。

maisumakun

2020/02/07 22:42

> tetatail は PHP ではないと思いますが CakePHPのようです。

行動規範の内容に同意します

「& 」であればブラウザでは「&」と表示されて問題ないはずですがどういうご質問でしょう？

追記
ngyukiさんが補足されていますね。2回エンコードしていないかチェックしましょう。

投稿2015/07/21 10:57

編集2015/07/21 10:59

osmoc-1970

総合スコア124

法人名の場合は、htmlspecialcharsを通す前に&を全角の＆に変換すればその後の処理も悩まず済むと思います。

投稿2015/07/21 10:23

rik

総合スコア1151

rik

2015/07/21 11:28 編集

この方法は本筋から外れていることは承知の上ですが、「例えば法人名」と言う前提の話です。後からデータの使いまわし等で弊害が出ることを考えるとテクニックの一つとして提案いたしました。データの使い回しとは、CSV出力等です。ブラウザでは&は＆で表示されますが、htmlspecialcharsを使用するという事は1個だけではなく多くのデータを扱う事であり、そうなると当然Excel出力やCSV出力なども有るでしょう。JavaScriptでの処理も考えると厄介です。文字数を数える時も4文字増えてしまいます。あくまでもテクニックの一つとしてお考えください。半角の必要性があるならばそれ相応の処理を行う事になるでしょう。

行動規範の内容に同意します

あなたの回答