[PHP-users 12982] Re: HMTML Tag の回避策 (Re: PHP-users 保存書庫の文字化け)

[KOYAMA Tetsuji]

  小山です。

At Tue, 04 Feb 2003 14:38:42 +0900,
Osamu Shigematsu wrote:
> 小山さんには釈迦に説法ではありますが。;)

  いや、そんなたいしたもんじゃないっすよ。(^^;

> >   '<' や '>' は、HTML エンティティを用いて '&lt;', '&gt;' に置き換える
> > べきでしょう。そのために PHP には htmlspecialchars() 関数が用意されて
> > います。
> 
> それ以外にも、JavaScript を紛れ込ませることもできますね。
> 方法によっては、htmlspecialchars() で防ぐことはできないと思います。

  これなんですが、'<', '>' を用いずに JavaScript を紛れ込ませるってど
うやるのでしょう? ちょっと考えた限りでは思いつきませんでした。

> なので、htmlspecialchars() をかましたから、もう安心というように、
> 安直に考えない方がいいと思われます。＞元の質問の方

  そうですね。守るデータの特性により守り方が異なってくるのは当然ともい
えます。データがどのように使われるかをちゃんと考えて、適切に排除・置換
を行うフィルターを通すことは、以前にも増して重要なことだと思います。

-- 
	小山 哲志＠ビート・クラフト
	koyama@beatcraft.com
	koyama@hoge.org