完全ではないがある程度安全なデータの取得方法

XSSやSQLインジェクション等、ユーザーに入力させたデータを扱う際はセキュリティに細心の注意を

はらわなければならないので、その対策のひとつをメモ



<?php

$Url  = htmlspecialchars($_GET["url"], ENT_QUOTES);

echo $Url;

?>

何かしらデータを受け取る際、「<」や「"」等のタグなどに利用される文字列を無害化する必要があるので

$_GET["url"]をhtmlspecialchars()で無害化させる。

htmlspecialchars()だけでは「'」シングルクォーテーションを無害化してくれないので, ENT_QUOTESをつけ、「'」も

無害化させる必要がある。

詳しくはPHPマニュアルでどうぞ

Trackback(0)

Trackback URL:

This is a Flickr badge showing public photos and videos from ryuichi@d-remix. Make your own badge here.

このページは、龍一が2008年1月31日 01:28に書いたブログ記事です。

ひとつ前のブログ記事は「PHPクラスの定義メモ」です。