ユーザーがURLスキームを入力してDBに保存出来る想定です。
「http://」や、「moge-moge://hoge?abc=」
など、想定出来るスキームは多数あります。
このスキームですが、DBに登録する際は入力された値をそのまま保存していいものでしょうか?
もちろんXSS対策として下記の記号はバリデーションを掛けて弾く予定です。
「<」「>」「"」「'」「&」
ただ、それ以外「=」「?」「:」「/」などはそのまま登録すべきか、エスケープして登録すべきか迷っています。
こういった場合は一般的にどういう実装をするのでしょうか?
分かる方居ましたら教えていだきたいです。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/09/20 10:22
2018/09/21 00:09
2018/09/21 05:30
2018/09/21 06:05
2018/09/21 07:41