[PHP-users 24237] Re: クロスサイトスクリプティングとSQLインジェクションの防止策

[YOSHIMURA Keitaro]

らむじぃです。

> XSSは、ユーザーごとの処理云々として考えるのではなく、「変数に入れた値を
> HTMLで表示する」という処理に対しては、必ず入れておくようにしています。
> 使う関数は、基本的に「htmlspecialchars」でOKと思います。
ダウト。
/ ? 等はサニタイズされません。
form由来のデータを URL に含めた場合など、困ったことになります。
先ほどのメールでシチュエーションによる、といったことの一例です。

XSSは何でも許される生データから、制限事項の違う箇所へ出力する際に処理を
怠った時に発生するものです。単なるhtmlの表現文字として問題の出る文字をフィ
ルタするに過ぎない関数は万能ではありません。

-- 
<|> YOSHIMURA Keitaro/ramsy
<|> ramsy ＠ ramix.jp
<|> http://ramix.jp/~ramsy/