Q&A
用途が分からないので追記しておいてください。
普通は、表示時にhtmlspecialcharsしておけば問題無いはずですが。
PHPのエスケープでシングルクォーテーションだけ許可するにはどうしたらいいでしょうか?
発生している問題・エラーメッセージ
PHPでフォームから住所を取得していますが、海外の住所が入るためシングルクォーテーションが入ります。例えばO'Fallonという都市があります。
htmlspecialcharsでエスケープしてシングルクォーテーションだけ残すにはどうしたらいいでしょうか?
・ユーザーからの入力に対してシングルクォーテーション以外の記号は全て消す。
・DBにはシングルクオーテーションの入った文字列でインサートする。
上記2点が希望してる動作です。
試したこと
PHP
1 $string = str_replace(array("%", "<", ">", "=", "&", ";", "<", ">", "&", "#", "=", "?", "?", "\"" ), "", $string);
str_replaseで置き換えると&や#や;を全部取り除かなければいけないので、htmlspecialcharsより許容文字が増えてしまいます。
回答4件
0
バリデーションとエスケープをごっちゃにしてませんか?
入力文字列に対してバリデーションとしてhtmlspecialchars()を使用することは無く、出力時にhtmlspecialchars()を使用して、正しく html として表示します。
投稿2019/09/24 03:49
退会済みユーザー
総合スコア0
0
・ユーザーからの入力に対してシングルクォーテーション以外の記号は全て消す。
フォーマットが決まっていて、自動修正の結果が入力したユーザーにも明らかな場合(郵便番号や電話番号の区切り位置、全角⇔半角など)や、データソースが人間以外の他システムから来るもので対処せざるを得ない場合は除いて、原則として入力されたものを勝手に変更すること自体がよくありません。
勝手に切り捨てるのではなく、不適切な文字が来た場合はエラーで戻して再入力させるほうが適当だと考えます。
投稿2019/09/24 04:22
総合スコア145183
ありがとうございます。ご指摘の箇所は変更します。
安全にシングルクオーテーションだけ許可する方法を教えていただけないでしょうか?
ご提示のコードにどのように入力を処理しているのかの部分がないので、何も言えません。
原則として入力されたものを勝手に変更すること自体がよくありません。とのことですが、電話番号でハイフン抜きで値が欲しい時に、ハイフン入っていたらエラーでユーザーに再入力求められると私としてはどうかなと思います。
それは「フォーマットが決まっていて、自動修正の結果が入力したユーザーにも明らかな場合」に当てはまるので例外です。
自己解決0
全記号を処理に通してその後文字列からシングルクォーテーションだけを元に戻せばよろしいのでは?
参考
サンプル(あくまでサンプルです)
PHp
1$string = str_replace("'", "'", $string);
投稿2019/09/24 03:42
編集2019/09/24 05:10
総合スコア10429
あなたの回答
tips
プレビュー
