POSTで受け取ったデータをHTMLとして表示させたい

###前提・実現したいこと
HTMLファイルのformメソッドを使用して別ページに入力した値をPOSTし、受け取った値をHTMLソースとして表示させたいです。

例）
test.htmlにformメソッドを定義して、test_o.phpに反映させる。
<b>test</b>をPOSTした時に、test_o.phpでtestの太文字が表示される。

###発生している問題・エラーメッセージ
echoを使えば表示できるのは分かるのですが、HTMLソースに変換して表示させる方法が分かりません。

###該当のソースコード
test.html

<form action="../test_o.php" method="post">
  <textarea name="TEST" rows="4" cols="40">ここにソースを入力してください</textarea>
  <br>
  <input type="submit" value="送信"><input type="reset" value="リセット">
</form>

test_o.php

<?php
  $test = htmlspecialchars($_POST['TEST']);
  echo $test;
?>

###試したこと
PHP・HTMLとも知識が少なく、HTML側でformを使って送る時にHTMLソースとして送る方法があるのか、テキストとして受け取ったデータをPHPでHTMLソースに変換する方法があるのかも分からない状態です。
どちらの方法を調べてみても参考になる情報を見つけられませんでした。

非常に初歩的な質問かもしれませんが、参考になるURLの記載だけでも結構ですので、ご教示よろしくお願いします。

行動規範の内容に同意します

回答3件

じつは、$_POSTにはHTMLタグがそのままで来ていて、htmlspecialcharsでエスケープしているので、そのままechoすればタグもそのまま出ます。

ローカルで動かす試験程度ならそれでいいのですが、実用システムに組み込む場合には、XSSを防ぐ必要があります。「HTMLタグを自由に書ける」となると、当然<script>も書けてしまうので、意図しないJavaSciptを動かされてしまいます。ということで、ユーザーから書式付きテキストを受け取る場合、

信頼できるライブラリで、受け入れるタグ・属性を限定してそれ以外のものをすべて取り除く。
Markdownなど、HTMLより自由度の低い形式で受け取る。
管理側など、信頼できるユーザーだけが登録できるようにする。

など、何らかの対策が必要になります。

投稿2016/07/29 07:58

maisumakun

総合スコア145184

Takuma_Tanaka

2016/07/29 08:03

ご回答ありがとうございます。解説までして頂いて勉強になりました。セキュリティについては実際にはID・PASSを入力してログインする管理画面にtest.htmlのようなページを設置して、公開画面にtest_o.phpのようなページを設置するので、大丈夫だと思います。色々とご考慮頂いてありがとうございます。

mpyw

2016/07/29 11:57 編集

↑なぜこれで安全と判断できるのか少し疑問です… パスワードの管理とかも大丈夫ですかね？もし平文で記録していたらその時点でアウトですし，https:// ではない通信であれば「本サイトの通信には暗号化は使用されませんので，重要なパスワードは本サイトに使わないでください」という明記はあったほうがいいと思います．

行動規範の内容に同意します

たんにhtmlspecialchars()をつけるかつけないかの話？

PHP
1<form method="post">
2<textarea name="test" rows="4" cols="40">
3<div style="background-color:red;">hoge</div>
4</textarea>
5<input type="submit" value="go">
6</form>
7
8<?PHP
9$test=filter_input(INPUT_POST,"test");
10print $test;
11print htmlspecialchars($test);
12?>