【関数のマニュアル】
https://secure.php.net/manual/ja/function.htmlspecialchars.php
この関数の第二引数にはフラグ定数を設定することができますが、
ENT_QUOTESをしているソースコードをよく見かけます。
シングルクォートをエスケープするメリットやエスケープしない事での脆弱性がありましたらご教示ください。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答3件
0
このような処理をするとします。
PHP
1<?php 2if ($_SERVER['REQUEST_METHOD'] == 'POST') { 3 if (!empty($_POST['name'])) { 4 echo "<input type='text' name='" . htmlspecialchars($_POST['name']) . "' value='" . htmlspecialchars($_POST['name']) . "'>"; 5 } 6} 7?> 8<!DOCTYPE html> 9<html lang="ja"> 10<head> 11 <meta charset="utf-8"> 12 <title>タイトル</title> 13</head> 14<body> 15<form action="" method="post"> 16 <label> 17 <input type="text" name="name"> 18 </label> 19 <input type="submit"> 20</form> 21</body> 22</html>
このとき、入力フォームにシングルクォートが含まれるとエスケープを行っていないため、 ' disabled='disabled'
を入力するとinputタグが無効化されてしまいます。シングルクォートで属性をくくっていて、そこに入力された内容を出力するときはシングルクォートのエスケープが必須となります。もしダブルクォートで属性をくくっている場合はあまり関係ありませんが、万が一どこかでシングルクォートを使っていたときのためにENT_QUOTESを指定しておくほうが良いと思います。
投稿2017/01/12 07:29
総合スコア14731
0
ベストアンサー
例えばinputタグのvalue値にphpで生成した値を出力する場合、value属性がシングルクォートでくくられていると期待通りの出力がされなくなったりします。
以下の例では上段のinputタグには「xxx」、下段のinpuタグには「xxx'xxx」が出力されます。
php
1<?php 2$value = "'"; 3?> 4<html> 5<body> 6<input type='text' value='xxx<?php echo htmlspecialchars($value) ?>xxx' /> 7<br/> 8<input type='text' value='xxx<?php echo htmlspecialchars($value, ENT_QUOTES) ?>xxx' /> 9</body> 10</html>
投稿2017/01/12 07:06
総合スコア217
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
そもそもを確認した方がいいですね。
「何故htmlspecialcharsを通すのか?」を一言でどうぞ
これが分かりやすかった。
投稿2017/01/12 06:21
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/01/12 07:09 編集
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。