Q&A
この関数の目的の目的を考えたらわかるのでは。
phpでフォームから送信された値を安全に処理して配列からCSVを出力するコードを書いています。
値自体はhtmlspecialcharsで処理しているのですが、
文字の中に '(シングルクォーテーション) や &(アンパサンド) があり、これらの文字はそのまま出力したいのです。
php
1$test = htmlspecialchars("XXXXX&YYYYYYY&ZZZZZZZ", ENT_QUOTES, 'UTF-8'); 2 3↓CSV出力後 4 5XXXXX&YYYYYYY&ZZZZZZZ 6 7【理想形】 8XXXXX&YYYYYYY&ZZZZZZZ
値は安全に処理したいけど、一部の記号はそのまま使用したい時、皆様ならどの様に対応されますでしょうか?
ご教示いただけましたら幸いです!
回答4件
0
これは質問に対する回答ではなく、回答に対するコメントです。
htmlspecialchars は XSS 対策のための機能ではありません。HTML コンテキストで特殊文字(&など)をテキストコンテキストとして表示するための機能です。
それが XSS 対策となるのは副次的な結果です。
XSS の心配がない「信頼できる文字列」であっても、出力時に htmlspecialchars を使わなければ、特殊文字が期待通り表示できなくなってしまいます。
投稿2022/09/11 09:44
総合スコア2859
>回答に対するコメントです。
それなら回答に対してコメント付けられた方が良いです。
0
なぜ「CSVで」&をエスケープしなければならないのでしょうか。
htmlspecialcharsという名前のとおり、これはHTML用の関数であって、CSV出力する場合には別な方法で別な文字への対応を行う必要があります。
投稿2022/09/11 00:19
総合スコア145183
0
配列からCSVを出力するコード
そもそもhtmlspecialchars()は画面表示時の出力処理に行うことでXSS対策となる機能なので、
目的がCSVに書き出すことでしたら不要です。
投稿2022/09/11 00:18
総合スコア80850
0
まず、「htmlspecialchars関数を使う目的(背景)を理解すべき」です。
この背景を理解せずに思考停止して「安易に使うと」、バグの温床になったりする場合があるからです。(今回のことに関してではなくとも)
フォームを介して渡された入力値はhtmlspecialchars関数を使って変換しろ
とか言われるのはXSS対策のためです。
そもそもXSS対策とはなんでしょうか。XSS攻撃に対する対策ですよね。
では、XSS攻撃とは何でしょうか。軽く「攻撃手法 XSS とは」でggると、「フォームを介して入力されたデータがHTMLやスクリプト(JavaScript等)で、そのスクリプトによる攻撃」って感じですね。
詳しくはご自分で調べてください。
この攻撃に対して対策が必要になるのは、電子掲示板のように「入力値をそのままHTMLに埋め込んだりして表示する場合」です。データをちょっと加工する場合でもですが。
とにかく、フォームからの入力がほぼ直接ユーザ側のページに表示されるタイプですね。
その対策のためにHTMLタグと思われる<や>を>とかに置き換えてタグではなく文字として認識されるようにするだけです。
仮にそれをご存じであり、「データをHTMLとして表示したい」とかであれば引数を指定すればいいだけです。
htmlspecialchars - PHP
投稿2022/09/11 05:49
総合スコア4958
あなたの回答
tips
プレビュー
