PHPのhtmlspecialcharsにはENT_QUOTESを付ける
2008年01月31日-
htmlspecialchars ( ) でセキュリティ対策( ENT_QUOTES もね!)
PHPのhtmlspecialcharsにはENT_QUOTESを付ける。
htmlspecialchars でXSS対策をしていたと思ったら、デフォルトでは シングルクオートをエスケープしてくれない(マニュアル参照)
htmlspecialchars($str, ENT_QUOTES);
ENT_QUOTES を指定することで、シングルクオートも ' にエスケープ出来ます。
ZAPAブロ〜グのZAPAさんの指摘するh関数を定義してフレームワークなどに組み込んでおくのがスマートなのかもしれませんね→htmlspecialchars関数を簡単にする意外に知られていないかもしれないので、念をのため紹介しておきます。(知っている人はごめんなさい)
その危険な例をしめしてみます。
例えば、htmlspecialchars した値は安全だとして、Smarty などで次のように値を割り当てたとすると危険です。
<a href="http://phpspot.net/php" onclick="javascript:alert('{$assigned}');">test</a>
例えば、$assigned 変数に、「');alert(document.cookie+'」なんていう値がはいっていたらcookieがalertされてしまいます。
<>だけエスケープしておけば大丈夫、ということはいえなくなってしまいます。
というわけで、htmlspecialcharsを使う際にはENT_QUOTESを第二引数に渡さないといけません。
上記は誤りなので訂正いたします。(2008/04/16)
追記訂正) alert関数の呼び出しで、alert('');alert(document.cookie+''); だと document.cookie がアラートされてしまいます。
javascript 関数の文字列内のエスケープを行う際、シングルクオートは、\' のようにエスケープする必要があります。addslashes 関数などを使って ' → \' にする必要があるようです。
詳しくは、追記エントリにて。
関連エントリ
By.KJ : 2008年01月31日 10:05 
間違いの指摘をしていただける方はメール、あるいはTwitter/FBでお願いします(クリック)
最新のブログ記事(新着順)
- Three.jsでパーティクルが雨のように降り注ぐ実装デモ
- ホバーで文字がバラバラと集まるエフェクト実装
- ClipPathを使ったオシャレな画面切り替えスライドショー実装
- テキストをSVGを使って円形アニメーションさせるデモ
- Three.jsをつかった3Dなローディングアニメーション実装
- ホバー時にCSSで下線などをアニメーション表示するサンプル
- iPhone, iPad, Mac, Android などのフリーのベクターモックアップ
- macOS用の使いやすいカラーピッカー「pika」
- CSSでボタンにサイバーパンク効果を与えるサンプル
- カラフルな球体をWEB上でうごかすThree.jsをつかったサンプル
- 過去のエントリ
