質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

4回答

719閲覧

API の JSON を foreach などで HTML として出力するときに、htmlspecialchars を通す必要はありますか?

退会済みユーザー

退会済みユーザー

総合スコア0

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2019/02/01 06:19

ユーザー入力した値をもとに処理して表示するときには、JavaScriptなどの悪意のあるスクリプトを実行できないように htmlspecialchars を通してエスケープする必要があるということは理解しております。

ユーザー入力は伴わず、単純に API で JSON を取得して表示するときにも htmlspecialchars を通す必要はあるのでしょうか?

通す理由を考えてみましたが、あるとすれば、JSON を返すAPI側に脆弱性やクラッキングなどがあり、JSONとして返す値に悪意のあるスクリプトを埋め込まれてしまうときに、htmlspecialchars を通しておけばスクリプトが実行されないということかなと、浅い知識なりに思いました。

htmlspecialchars を通す必要があるなら、その理由を教えてくださいm(__)m

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ベストアンサー

原則は、htmlspecialcharsを通すです。それはセキュリティ上の理由ではありません。
たとえば、APIが以下の文字列を返したとしましょう。

HTMLで打ち消し線を用いたい時は、<s>打ち消し線を引く文字列</s>のように行う

これをhtmlspecialcharsを通さないで表示すると以下のようになります。

HTMLで打ち消し線を用いたい時は、打ち消し線を引く文字列のように行う

これでは、打ち消し線の引き方はわからないわけです。htmlspecialcharsを用いると、<s>などと正しく表示されます。

一方、APIが「HTMLの断片」を返す場合もありえます。その場合はhtmlspecialcharsを通さずそのまま表示するしかありませんが、APIが返す内容が安全であることは十分に確認する必要があります。

投稿2019/02/01 06:54

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2019/02/01 07:25

なるほど、確かに返る値にタグなどが含まれていて、HTMLとしてそのまま表示するにはhtmlspecialchars を通さないといけませんね。 勉強になりました。回答ありがとうございましたm(__)m 他の方も回答ありがとうございました。
guest

0

API で JSON を取得

そのAPIから取得するデータがどのようにできているかは知りませんが、
外から提供される情報という点では入力で送信される情報と扱いは同じという認識です。

投稿2019/02/01 06:43

m.ts10806

総合スコア80765

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ユーザー入力は伴わず、単純に API で JSON を取得して表示するときにも htmlspecialchars を通す必要はあるのでしょうか?

例外的な事例として、APIがHTMLを返してくる場合には、htmlspecialcharsを通すと、HTMLがそのまま文字として表示されてしまうこととなります。

投稿2019/02/01 06:44

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2019/02/01 06:45

このようなHTMLを使う場合には、入念な検証が必要なことは言うまでもありません。
guest

0

そのお考えに賛成です。

多少分析させていただくと、リターンが信頼できないというのは状況として、API自身が悪意あるユーザである場合と、正しいAPIに接続できてない場合ですよね。
妥当な判断だと思いました。

投稿2019/02/01 06:32

papinianus

総合スコア12705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問