PHPのセキュリティ対策例
・Script Insertion(スクリプト挿入)
————————————————————
$string = htmlspecialchars($post_data, ENT_QUOTES, ‘UTF-8’);
————————————————————
・$post_data はブラウザ等で入力されたデータが格納されている。
・htmlspecialcharsの第二引数は指定しない場合は”(ダブルクォート)でエスケープされる。
ダブルクォートでは変数が展開されるため、ENT_QUOTES ( ‘ ) シングルクォートを指定する。
・第三引数は文字コードなので、環境に応じ変更する。
Leave a Reply