PHPでのエスケープ処理について

文字列のPOSTを受け取る場合は
$Mojiretu= htmlspecialchars($_POST['Mojiretu'],ENT_QUOTES,"UTF-8");

などで対応可能だと思うのですが

例えば
PostでFILESを受取りたい場合は

$DST_1 = htmlspecialchars($_FILES["DST_1"], ENT_QUOTES, "UTF-8");
と記載するとエラーになるのですがこれって
FILESを受け取る場合はエスケープ処理は不要という事でしょうか

2021/11/20 16:30

文章が途切れてしまっているので、修正して質問を完成させましょう。現時点で言えることはhtmlspecialchars()の使い方を間違っています。 POSTされたデータをエスケープするために使うものではありません。

行動規範の内容に同意します

回答1件

ベストアンサー

$_FILES["DST_1"]

既に指摘にあるようにPOSTされた情報をエスケープするためではなく、
ブラウザ表示時にXSS対策の一環としてエスケープを行うので、
リクエストを受け取る・DBに保存するときには使わない。

投稿2021/11/20 21:03

総合スコア80861

2021/11/20 23:29

お世話になっておりますなるほどですね、、対策としてはブラウザ表示時対策 -> htmlspecialchars DBの操作対策 -> sqlインジェクションを使用するという認識ですねありがとうございました。

2021/11/21 00:39

＞sqlインジェクションを使用する SQLインジェクションはあくまで驚異の名称なので「使用する」となると「攻撃する」という意味合いになりますが。過去質問ややりとりから見るに、用語への理解が正しくないことがあなたの根本的な問題に思います。

2022/07/27 09:49

何の音さたもなく無言で解決済みとされて戸惑っています。 https://teratail.com/help/question-tips#questionTips42

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.46%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問