PHPのhtmlspecialcharsにはENT_QUOTESを付ける
2008年01月31日-
htmlspecialchars ( ) でセキュリティ対策( ENT_QUOTES もね!)
PHPのhtmlspecialcharsにはENT_QUOTESを付ける。
htmlspecialchars でXSS対策をしていたと思ったら、デフォルトでは シングルクオートをエスケープしてくれない(マニュアル参照)
htmlspecialchars($str, ENT_QUOTES);
ENT_QUOTES を指定することで、シングルクオートも ' にエスケープ出来ます。
ZAPAブロ〜グのZAPAさんの指摘するh関数を定義してフレームワークなどに組み込んでおくのがスマートなのかもしれませんね→htmlspecialchars関数を簡単にする意外に知られていないかもしれないので、念をのため紹介しておきます。(知っている人はごめんなさい)
その危険な例をしめしてみます。
例えば、htmlspecialchars した値は安全だとして、Smarty などで次のように値を割り当てたとすると危険です。
<a href="http://phpspot.net/php" onclick="javascript:alert('{$assigned}');">test</a>
例えば、$assigned 変数に、「');alert(document.cookie+'」なんていう値がはいっていたらcookieがalertされてしまいます。
<>だけエスケープしておけば大丈夫、ということはいえなくなってしまいます。
というわけで、htmlspecialcharsを使う際にはENT_QUOTESを第二引数に渡さないといけません。
上記は誤りなので訂正いたします。(2008/04/16)
追記訂正) alert関数の呼び出しで、alert('');alert(document.cookie+''); だと document.cookie がアラートされてしまいます。
javascript 関数の文字列内のエスケープを行う際、シングルクオートは、\' のようにエスケープする必要があります。addslashes 関数などを使って ' → \' にする必要があるようです。
詳しくは、追記エントリにて。
関連エントリ
By.KJ : 2008年01月31日 10:05 
間違いの指摘をしていただける方はメール、あるいはTwitter/FBでお願いします(クリック)
最新のブログ記事(新着順)
- WebGLを使ったスクロールでパーティクルがアニメーションするサンプル
- 超カッコいいスクロールエフェクト実装「lax.js」
- SVGフィルタを使って画像を歪ませてアーティスティックにするデモ
- リッチでカッコいいカラーピッカー「iro.js」
- 地図上の移動経路を再生できる「maps-journey-replay」
- ユーザのマウスの動きを記録し再生できる「viewRecorder」
- 動画のフルスクリーン背景実装jQuery「vidbacking」
- 美しすぎるカレンダーピッカー「PIGNOSE Calendar」
- 画面切替時のおしゃれなテキストアニメーションエフェクト「Text Trail Effect」
- YoutubeAPIのjQueryラッパー
- 過去のエントリ
