ユーザが入力した文字列を画面に出力したい場合、気をつけるべき事柄がいくつかあります。
その一つが、今回のお題である「出力する文字列はサニタイジングすること」です。
PHPには文字列をエスケープするための関数がいくつか用意されていますが、サニタイジングするためにはhtmlentities関数を使用し、しかも第2と第3引数を指定する必要があります。
参考:
PHP マニュアル htmlentities
その一つが、今回のお題である「出力する文字列はサニタイジングすること」です。
PHPには文字列をエスケープするための関数がいくつか用意されていますが、サニタイジングするためにはhtmlentities関数を使用し、しかも第2と第3引数を指定する必要があります。
(例)
$string = htmlentities($string, ENT_QUOTES, mb_internal_encoding());
よくhtmlspecialchars関数が使われていたり、htmlentities関数を使っていても第1引数しか指定されていなかったりしますが、これでは穴が残ることになります。参考:
PHP マニュアル htmlentities