質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

3回答

2508閲覧

htmlspecialchars関数の引数について

AkiraSonoda

総合スコア30

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

1クリップ

投稿2017/01/12 06:09

【関数のマニュアル】
https://secure.php.net/manual/ja/function.htmlspecialchars.php

この関数の第二引数にはフラグ定数を設定することができますが、
ENT_QUOTESをしているソースコードをよく見かけます。
シングルクォートをエスケープするメリットエスケープしない事での脆弱性がありましたらご教示ください。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

このような処理をするとします。

PHP

1<?php 2if ($_SERVER['REQUEST_METHOD'] == 'POST') { 3 if (!empty($_POST['name'])) { 4 echo "<input type='text' name='" . htmlspecialchars($_POST['name']) . "' value='" . htmlspecialchars($_POST['name']) . "'>"; 5 } 6} 7?> 8<!DOCTYPE html> 9<html lang="ja"> 10<head> 11 <meta charset="utf-8"> 12 <title>タイトル</title> 13</head> 14<body> 15<form action="" method="post"> 16 <label> 17 <input type="text" name="name"> 18 </label> 19 <input type="submit"> 20</form> 21</body> 22</html>

このとき、入力フォームにシングルクォートが含まれるとエスケープを行っていないため、 ' disabled='disabled'を入力するとinputタグが無効化されてしまいます。シングルクォートで属性をくくっていてそこに入力された内容を出力するときはシングルクォートのエスケープが必須となります。もしダブルクォートで属性をくくっている場合はあまり関係ありませんが、万が一どこかでシングルクォートを使っていたときのためにENT_QUOTESを指定しておくほうが良いと思います。

投稿2017/01/12 07:29

s8_chu

総合スコア14731

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

ベストアンサー

例えばinputタグのvalue値にphpで生成した値を出力する場合、value属性がシングルクォートでくくられていると期待通りの出力がされなくなったりします。
以下の例では上段のinputタグには「xxx」、下段のinpuタグには「xxx'xxx」が出力されます。

php

1<?php 2$value = "'"; 3?> 4<html> 5<body> 6<input type='text' value='xxx<?php echo htmlspecialchars($value) ?>xxx' /> 7<br/> 8<input type='text' value='xxx<?php echo htmlspecialchars($value, ENT_QUOTES) ?>xxx' /> 9</body> 10</html>

投稿2017/01/12 07:06

makotribe

総合スコア217

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

そもそもを確認した方がいいですね。
「何故htmlspecialcharsを通すのか?」を一言でどうぞ
これが分かりやすかった。

投稿2017/01/12 06:21

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

AkiraSonoda

2017/01/12 06:35

回答ありがとうございます。 シングルクォートをエスケープしないといけない理由はわかりませんでした。
退会済みユーザー

退会済みユーザー

2017/01/12 07:09 編集

同じ mpyw さんの stackoverflow での回答です。 http://ja.stackoverflow.com/questions/2408/%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8Bhtmlspecialchars%E3%81%AE%E4%BD%BF%E7%94%A8%E7%AE%87%E6%89%80%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6 > シングルクオートで括られた属性内に表示する際には必須です。但し一般的にはダブルクオートで括る方が主流なので、デフォルトの ENT_COMPAT が必ずしも悪いというわけではありません。 コーディングで回避可能ですが、おまじないとして使用したほうが良いって感じです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問