質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.83%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

サニタイズについて質問です

TuTettuuu
TuTettuuu

総合スコア12

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

3回答

0グッド

0クリップ

366閲覧

投稿2023/03/15 01:51

実現したいこと

クエリパラメータで渡ってきた文字を、テキストエリアの初期値として表示させたいです。
その際、<script></script>のようなXSSリスクのある文字もテキストエリアの中で表示させたいです。
下記のようなコードでXSSの危険がありますか?

<textarea><?php echo htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8"); ?></textarea>

もしやめた方がいいとかであれば、どのように対策すればよいでしょう。。
要件として、<script></script>のような危険な文字もテキストエリアに出力しておく必要があります。。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

m.ts10806

2023/03/15 02:14

そもそもtextareaの値に直接<script></script>を書いても実行されないのでは? <textarea> <script> alert(1) </script> </textarea> エンティティ変換すると&gt;script&gl;のようになりませんか?
m.ts10806

2023/03/15 02:15

また本件、PHPそのものというよりセキュリティの問題に思います。 セキュリティー、XSS などの質問タグを追加されたほうが良いです。

回答3

2

ベストアンサー

現状でXSS攻撃に対する適切な対策は行われており、問題はありません。

html

1<textarea><?php echo htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8"); ?></textarea>

このコードは、htmlentities()関数を使用して、HTMLエンティティに変換された$_GET["keyword"]をテキストエリアに挿入します。ENT_QUOTESフラグを使用することで、シングルクォートとダブルクォートもエンコードされ、XSS攻撃を防ぐことができます。

投稿2023/03/15 02:01

ta99to

総合スコア79

TuTettuuu, yambejp👍を押しています

下記のような回答は推奨されていません。

  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

0

もし気になるならHTML-ENTITIESの変換までやっておけばよいでしょう
むしろ$_GETを直接参照するなどはNGです

PHP

1<form> 2<input name="keyword"> 3<input type="submit" value="send"> 4</form> 5<form> 6<textarea><?=mb_convert_encoding(htmlentities(filter_input(INPUT_GET,'keyword'),ENT_QUOTES,'UTF-8'),'HTML-ENTITIES','UTF-8')?></textarea>

投稿2023/03/15 02:38

yambejp

総合スコア110881

下記のような回答は推奨されていません。

  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

0

php

1htmlentities($_GET["keyword"], ENT_QUOTES, "UTF-8")

上記でもテキストコンテキストに応じた適切なエスケープが行われるため、XSS 対策として十分ではありますが、過剰でもあります。

HTMLメタ文字をテキストコンテキストにおいてエスケープするための関数として htmlspecialchars が用意されています。

php

1htmlspecialchars($_GET["keyword"], ENT_QUOTES, 'UTF-8')

PHPアプリケーションでは一般的に htmlspecialchars が用いられます。htmlentities を代わりに使ってしまうと意図が不明確になる可能性があるため htmlspecialchars を用いることをお勧めします。

下記のようなコードでXSSの危険がありますか?

上記どちらのコードでも XSS の危険はありません。安全です。

投稿2023/03/15 02:21

arcxor

総合スコア2457

下記のような回答は推奨されていません。

  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

回答へのコメント

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.83%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。