Q&A
JavaScriptから引数を指定してPHPを呼び出し、呼び出されたPHPではMySQL内を引数で検索します。
PHPではいくつかエスケープ用の関数が有りますが、JavaScriptからPHPに渡された引数は、微量ながら、PHP内でエスケープされるまでむき出しになってしまいます。。
そこで、JavaScriptからPHPに渡す引数を、JavaScript内でエスケープしたいのですが専用の関数などありますでしょうか?
回答2件
0
javascriptでMySQLのエスケープ処理をする必要もありませんし、するべきではありません。
エスケープにも色々な種類がありますが、データをMySQLに保存する前にエスケープする目的は、MySQLにとっての特殊文字を無害化するためです。MySQLにとっての特殊文字は、HTMLやHTTPにとっての特殊文字ではないので、この区間でMySQL用のエスケープをしなくても、実害は全くありません。
それどころか、これらの文字をjavascriptでエスケープしてしまうと、ユーザの入力情報を改ざんしてしまうことになります。例えば「'」を「''」にエスケープした場合、ユーザが元々入力した情報が「'」なのか「''」か判別することができなくなります。これではユーザの入力した情報を正しく復元することができません。
よって、MySQLのエスケープ処理は、サーバ側でデータベースに保存する直前にエスケープするべきです。
投稿2017/04/25 23:43
総合スコア93
0
ベストアンサー
エスケープ処理はエスケープが必要な直前のタイミングで実施するのが原則です。
エスケープ後の過程で、該当文字列に何らかの変換処理が働くと、エスケープが解除されてしまう恐れがあるからです。
MySQL用のエスケープ処理なら、SQLクエリを発行する直前になりますので、PHPでエスケープ処理が実施出来れば、JavaScriptでのエスケープ処理は不要になります。
また、JavaScriptでエスケープ処理を実施するということは、JavaScriptを介在せずにPHPへクエリを投げればエスケープ処理を回避出来る事になるので、脆弱性の一因となります。
Re: seri さん
投稿2017/04/25 23:20
編集2017/04/26 05:13
総合スコア18194
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。