エスケープ処理に関してお聞きしたいことがございます。
掲示板などで、名前やコメントを入力し、投稿(送信)した値を、データベースへ保存し、その保存したデータをコメント一覧に表示する場合のことなのですが、フォームからpostされたデータを、データベースへ保存する場合には、エスケープ処理を施す必要はありますでしょうか?
仮に、<input type="text"name="name">で送られた値を下記のように、filter_input関数を通して受け取る際、「FILTER_SANITIZE_SPECIAL_CHARS」を指定した場合、エスケープ処理がなされると思うのですが、データベースに保存した値をコメント一覧として、表示する場合htmlspecialchars関数を通し出力すれば、投稿されたデータを受け取る際にはエスケープしなくても良いのではないかな?と思った為、ご質問させて頂きました。
php
1$name = filter_input(INPUT_POST,'name',FILTER_SANITIZE_SPECIAL_CHARS);
上記の疑問につきまして、ご意見お聞かせ願えれば幸いです。
回答1件
あなたの回答
tips
プレビュー