PHP XSS対策について

PHPのXSS対策で下記文にXSS対策を行い、<script>alert('XSS!');</script>
を送信時に表示させないようにしたいのですが、
function h($str) {
return htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
}
上記をコードに入力してもうまくいきませんでした。

下記文で表示させないようにするにはどのようにすれば良いでしょうか。

<?php $message = $_GET['message']; echo $message; print_r($_GET); ?> <!DOCTYPE html> <html lang = "ja"> <head> <meta charset = "UFT-8"></head> <script>alert('XSS!');</script> <body> <form action = "lesson11.php" method = "get"> <input type = "text" name ="message"><br/> <input type="checkbox" name="hoby[]" value="musicappreciation">音楽鑑賞<br/> <input type="checkbox" name="hoby[]" value="moviegoing">映画鑑賞<br/> <input type="checkbox" name="hoby[]" value="reading">読書<br/> <input type="checkbox" name="hoby[]" value="fishing">釣り<br/> <input type = "submit" value ="submit"> </form> </body> </html>

maisumakun

2021/12/05 03:16

提示のコード中に、<script>alert('XSS!');</script>とありますが、これはどこから供給された値ですか？

otn

2021/12/05 11:14

<?php $message = $_GET['message']; echo $message; print_r($_GET); ?> はなんですか？コピペミスのゴミ？

m.ts10806

2022/01/31 22:47

長い間放置されたまま、急に無反応で解決済みとされて、戸惑っています。フィードバック願います。https://teratail.com/help/question-tips#questionTips42

行動規範の内容に同意します

回答1件

ベストアンサー

XSS対策は外部の入力や外部入力によりDBに保存されたデータを画面表示時に行うものであって、もともとコードに入ってるものに行うことはできません。
あと「表示しない」のではなく「本来のタグとしての効果を無効化する」が正しい理解で、画面上には表示されます。
htmlタグがhtmlとして解釈されないように変換するのです。

投稿2021/12/05 02:36

m.ts10806

総合スコア80861