Q&A
プログラマー2か月目でcakephpの勉強をしてます。
viewにおいてlink()を使う時のオプションにescapeというのがあるのですが、用途の説明として表示内容をエスケープするかしないかというものなのですがいまいちピンときません。
わかる方がいましたら教えてください。お願い致します。
回答2件
0
ベストアンサー
言語については私は知らないので一般的な意味だけ。
エスケープはサニタイズの手法の一種です。
XSS(クロスサイトスクリプティング)やSQLインジェクションに対してとる手法ですね。XSS対策ではHTMLのコードに使用する<>"'といった記号などを文字列参照に置き換えることでタグの挿入を防ぎます。SQLインジェクションはサーバに対しての攻撃でして受け取った不正なSQLを実行してしまうことによりデータの削除やコピーなどを攻撃者が行えるものです。そのため攻撃を受けないためには入力値をコードとして動かないようエスケープ(多くの場合文字列参照化)する必要があります。
サニタイズはエスケープを含めた大きな考え方で無毒化という意味合いです。クラッキングに使用される有害な値を害のない形にする、または排除する、そもそも受け取らないなどの対策の総称です。そのうちの一つの手法がエスケープですね。
投稿2015/01/25 14:21
総合スコア730
0
表示内容をエスケープってのがそもそも何なのかは「XSSインジェクション」って単語でググると出てくると思います。
escapeをどう使うか的なところでいうと、
Cakeのソースを見ると「escape」周りの処理は下記のようになっているので、
「trueはcake標準のエスケープ、文字列(エンコード)は指定した形式でエスケープ、false等はそもそもエスケープしない」
ってことだと思います。
lang
1if (isset($options['escapeTitle'])) { 2 $escapeTitle = $options['escapeTitle']; 3 unset($options['escapeTitle']); 4} elseif (isset($options['escape'])) { 5 $escapeTitle = $options['escape']; 6} 7if ($escapeTitle === true) { 8 $title = h($title); 9} elseif (is_string($escapeTitle)) { 10 $title = htmlentities($title, ENT_QUOTES, $escapeTitle); 11}
投稿2015/01/25 10:25
総合スコア843
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/01/29 10:28