検索
カレンダー
2020年2月
« 4月    
 1
2345678
9101112131415
16171819202122
23242526272829
ブログメニュー
Amazon検索
キーワード:

出力する文字列のサニタイジング(無害化)

2006年11月13日

 

ユーザが入力した文字列を画面に出力したい場合、気をつけるべき事柄がいくつかあります。
その一つが、今回のお題である「出力する文字列はサニタイジングすること」です。
PHPには文字列をエスケープするための関数がいくつか用意されていますが、サニタイジングするためにはhtmlentities関数を使用し、しかも第2と第3引数を指定する必要があります。

(例)
$string = htmlentities($string, ENT_QUOTES, mb_internal_encoding());

よくhtmlspecialchars関数が使われていたり、htmlentities関数を使っていても第1引数しか指定されていなかったりしますが、これでは穴が残ることになります。

参考:
PHP マニュアル htmlentities

コメントはまだありません »

コメントはまだありません。

TrackBack URL : http://www.meibinlab.jp/nishijima/archives/58/trackback

コメントする