phpでPOSTやGETする時、サニタイジングせずにエクケープする方法はないでしょうか？

PHP初心者です。

件名の通り、サニタイジングせずに特殊文字をそのまま表示して、でもエクケープは出来ている、という処理はどうすれば出来るでしょうか？

ここの様なQ&Aサイトなどもコードを書くとそのまま表示されます。
具体的にはコロンやスペース、かっこ、円マーク、スラッシュなどをエスケープせずに表示させたいのですが何か良い方法はないでしょうか？

教えて頂けるとありがたいです、よろしくお願いします。

ご回答ありがとうございます。

説明が下手ですいません。

xss攻撃に対するエスケープ(単語が適切でないかもしれませんが)はしたいのですが、記号をそのまま表示したいです。
htmlspcialcahrs関数だと変換されちゃいますので何か他の方法が無いかと模索しております。

何か方法をご存知の方いらっしゃいますでしょうか。

行動規範の内容に同意します

回答3件

ベストアンサー

ここの様なQ&Aサイトなどもコードを書くとそのまま表示されます。

htmlspcialcahrsのような置換は行っていますよ
ブラウザで右クリックして「ページのソースを表示」(これはchromeのメニュー)などでHTMLコードを見てみてください

HTML
1<body></body>

これは恐らく「<body></body>」こう表示されていると思います。

記号をそのまま表示したいです。

「どこに」そのまま表示したいのかによります。
ブラウザなら「<」と書けば「<」のように表示されますので、htmlspcialcahrsを実行して問題ないです。
テキストエディタに表示したいなら、(テキストエディタではスクリプト実行もされないので)サイニタイズ処理は不要になるかも知れません。

投稿2015/09/09 04:41

編集2015/09/09 04:47

hirohiro

総合スコア2068

yoyoyoyogi

2015/09/09 05:55

回答ありがとうございます。仰るとおりでした。何か大きな勘違いをしていいた様です・・・・解決しました。ありがとうございました。

行動規範の内容に同意します

こんにちは。
こちらのサイトでは、プレビュー等の部分を<dl>や<dd>タグでくくっているようです。

自分も表示だけ試してみましたが、

<dl>、<dd>、<dt>タグ内だと\などの特殊文字もそのまま表示されるようです。

ただ、サーバーを介してはみてないので、POSTなどで送信されたデータがどのようになるかは分かりません。

投稿2015/09/09 02:25

編集2015/09/09 02:28

kaputaros

総合スコア1844

何に対するエスケープやサニタイズかわかりませんが、
htmlspecialchars関数のようなことをしたいのでしょうか。

http://qiita.com/mpyw/items/565b3670dd0c7f9162fa
が参考になる気がします。

投稿2015/09/09 01:48

notable

総合スコア415

notable

2015/09/09 03:05

htmlspecialcharsを使うと、 < は < > は > などに変換されますが、これをブラウザで表示すると文字として < や > が表示されます。また、コロン、スペース、円マーク、スラッシュは変換しません。そのためhtmlspecialchars関数で解決すると考えたのですが。例えば次のようなPHPを作ってブラウザからアクセスし、ブラウザのソースを表示してみてください。 <?php $str = ': ()<>\/'; echo $str; echo "\n<br>\n"; echo htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); ?>

行動規範の内容に同意します

あなたの回答