そもそもtextareaの値に直接<script></script>を書いても実行されないのでは?
<textarea>
<script>
alert(1)
</script>
</textarea>
エンティティ変換すると>script≷のようになりませんか?
実現したいこと
クエリパラメータで渡ってきた文字を、テキストエリアの初期値として表示させたいです。
その際、<script></script>のようなXSSリスクのある文字もテキストエリアの中で表示させたいです。
下記のようなコードでXSSの危険がありますか?
<textarea><?php echo htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8"); ?></textarea>
もしやめた方がいいとかであれば、どのように対策すればよいでしょう。。
要件として、<script></script>のような危険な文字もテキストエリアに出力しておく必要があります。。
また本件、PHPそのものというよりセキュリティの問題に思います。
セキュリティー、XSS などの質問タグを追加されたほうが良いです。
回答3件
2
ベストアンサー
現状でXSS攻撃に対する適切な対策は行われており、問題はありません。
html
1<textarea><?php echo htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8"); ?></textarea>
このコードは、htmlentities()関数を使用して、HTMLエンティティに変換された$_GET["keyword"]をテキストエリアに挿入します。ENT_QUOTESフラグを使用することで、シングルクォートとダブルクォートもエンコードされ、XSS攻撃を防ぐことができます。
投稿2023/03/15 02:01
総合スコア79
0
もし気になるならHTML-ENTITIESの変換までやっておけばよいでしょう
むしろ$_GETを直接参照するなどはNGです
PHP
1<form> 2<input name="keyword"> 3<input type="submit" value="send"> 4</form> 5<form> 6<textarea><?=mb_convert_encoding(htmlentities(filter_input(INPUT_GET,'keyword'),ENT_QUOTES,'UTF-8'),'HTML-ENTITIES','UTF-8')?></textarea>
投稿2023/03/15 02:38
総合スコア110881
0
php
1htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8")
上記でもテキストコンテキストに応じた適切なエスケープが行われるため、XSS 対策として十分ではありますが、過剰でもあります。
HTMLメタ文字をテキストコンテキストにおいてエスケープするための関数として htmlspecialchars が用意されています。
php
1htmlspecialchars($_GET["keyword"], ENT_QUOTES, 'UTF-8')
PHPアプリケーションでは一般的に htmlspecialchars が用いられます。htmlentities を代わりに使ってしまうと意図が不明確になる可能性があるため htmlspecialchars を用いることをお勧めします。
下記のようなコードでXSSの危険がありますか?
上記どちらのコードでも XSS の危険はありません。安全です。
投稿2023/03/15 02:21
総合スコア2457
回答へのコメント
余談ですが、今回の質問内容は「サニタイズ」とは言いません。
http://takagi-hiromitsu.jp/diary/20060115.html
あなたの回答
tips
プレビュー
関連した質問
Q&A
[php][javascript]ボタンが押されたかどうかを検証するページを作りたい
Q&A
ボタンのcssが一部にしか効かない
Q&A
ハンバーガーメニューの挙動について(transitionが、もとに戻る時には適応されない)
Q&A
css/jsでドラッグアンドドロップ中のゴーストを非表示にしたい。
Q&A
jQueryで条件を満たしてないように見えるのに発火してしまう。
Q&A
【PC】横スクロール可能なボックスを複数並べ、その全てのボックス内においてマウスホイールでの横スクロール操作をしたい
Q&A
サムネイル画像をクリックしてメイン画像を切り替え、もう一度クリックで画像を消す
Q&A