URLスキームのような記号が交じる文字列をDBに登録する際、エスケープする必要はあるのでしょうか？

ユーザーがURLスキームを入力してDBに保存出来る想定です。

「http://」や、「moge-moge://hoge?abc=」
など、想定出来るスキームは多数あります。

このスキームですが、DBに登録する際は入力された値をそのまま保存していいものでしょうか？

もちろんXSS対策として下記の記号はバリデーションを掛けて弾く予定です。

「<」「>」「"」「'」「&」

ただ、それ以外「=」「?」「:」「/」などはそのまま登録すべきか、エスケープして登録すべきか迷っています。
こういった場合は一般的にどういう実装をするのでしょうか？
分かる方居ましたら教えていだきたいです。

行動規範の内容に同意します

回答1件

ベストアンサー

本題ではありませんが、ある程度自由度を持たせるにしても、スキームはホワイトリスト管理すべきだと考えます。javascript:やtel:、about:やアプリケーション独自のスキームなど、不用意に通してしまえば何をされるかはわかりません。

そして、受け入れるスキームが決まれば、それに合わせてバリデーションをかけましょう。エスケープは出力の直前に行うのが鉄則ですので、DB保管の際にはDB用のエスケープ（もしくはバインドして値として通す）だけを行いましょう。

投稿2018/09/20 09:15

maisumakun

総合スコア145184

tomuziso

2018/09/20 10:22

回答ありがとうございます。そもそもフォームで自由入力出来る設計自体がマズイということですね・・・？初歩的な話で申し訳ないのですが、 > DB保管の際にはDB用のエスケープ（もしくはバインドして値として通す）だけを行いましょうのイメージが掴めないのですがどういったことでしょうか？自分が考えていたエスケープの動作としてはフォームに入力→送信ボタン→バックエンド側でエスケープ→DBに登録→別の箇所でDBに登録された値を使用という流れで、特殊文字は登録の段階で弾いておかないと、という考えだったのですが・・・