[PHP-users 24239] Re: クロスサイトスクリプティングとSQLインジェクションの防止策

[Takashi Hagiwara]

萩原と申します。

らむじぃさん、ご指摘ありがとうございます。お恥ずかしい;;

>/ ? 等はサニタイズされません。
>form由来のデータを URL に含めた場合など、困ったことになります。
>先ほどのメールでシチュエーションによる、といったことの一例です。

確かに、下記のように変数を含んだURLを作成する場合には、「/」がディレクト
リの区切り文字として認識されてしまいますね;

<?PHP 
$value = "hogehoge/index.html";
?>
<html><body>
<a href="http://download.hoge/<? htmlspecialchars($value) ?>">
</body></html>

この場合には、「/」や「?」を入力時に弾くなど、別の対処方法を考える必要が
ありますね。

大変参考になりました。ありがとうございます。