Q&A
PHPを使用してDBへデータを格納する際に、一つ疑問が浮かびました。
DBへ登録するとき、セキュリティ上文字列のエスケープは必要あるのでしょうか?
XSS対策で文字列をエスケープするのはわかるのですが、scriptは登録されたデータをブラウザ上で表示されるときに実行されるのでわざわざDBへ登録する際に文字列をエスケープする必要はあるのでしょうか?
DBへ登録する際にエスケープしてしまうと検索などに引っかからなくなるという記事も見かけました。
回答3件
0
ベストアンサー
XSS対策で文字列をエスケープするのはわかるのですが、scriptは登録されたデータをブラウザ上で表示されるときに実行されるのでわざわざDBへ登録する際に文字列をエスケープする必要はあるのでしょうか?
ご認識の通り、エスケープ処理は表示の際に行うので、DB登録の際にエスケープ処理する必要はありません。
DBへ登録する際にエスケープしてしまうと検索などに引っかからなくなるという記事も見かけました。
そのとおりです。たとえば、「<(^o^)>」を登録する際にエスケープ処理すると、「<(^o^)>」としてDBに登録されることになりますが、単純に「<(^o^)>」で検索してもヒットしません。
また、エスケープ処理すると文字数が増えるので、本来データベースの列の制限内の文字数であっても、エスケープ処理後は文字数が超えてしまうばあいが想定されます。
DB登録時にHTMLエスケープするという方法は、かなり昔に行われていた間違った方法ですが、現在でもPHPの入門書などではこの方法が説明されていることが多く困ったものだと思っています。
投稿2020/05/31 08:09
総合スコア11710
0
DBには原則生データを登録します
登録してはいけないデータはあらかじめ除外します
投稿2020/05/31 07:33
総合スコア118173
0
DBに登録するときにエスケープするべきではないです。
出力するときに用途に合わせてエスケープするべきです。
用途はHTML中への出力とは限らないと思います。
たとえば名前をDBに登録するとして、
HTML中なのかJavaScriptの変数としてなのかメール本文なのかによって
扱いが違ってくると思います。
[メール本文]
★★★さん
ご登録ありがとうございました。
投稿2020/05/31 08:25
総合スコア508
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。