エスケープ | 「セキュリティ」カテゴリー

エスケープとは？

　状態:- 　閲覧数:2,754 　投稿日:2010-11-02 　更新日:2018-04-26 　

表記

英語
・escape

サニタイジングするための手段の一つ

プログラム上使用出来ない記号、特殊文字を適切な文字列に置換する
・そのままでは表現できない文字を別の表現に置き換える処理
・スクリプトとして意味を持つ文字を無効化する
・「&」や「>」など特殊文字を一般的な文字列に変換する
・PHPの場合はhtmlspecialchars関数でエスケープ処理
・& → &
・< → <
・> → >
・" → "
・' → '
・文字を削除する処理は含まない

エスケープ処理のタイミング

エスケープ処理のタイミングは入力データのチェック時ではなく、HTMLの生成時(出力時)に行う
こうしておけば、いろんな入力源から入り込んでくるデータを漏れなくエスケープ処理できる

出力する際に気をつけることは？

危険な文字や記号を適宜エスケープ（変換）
A.ブラウザ画面出力
B.データベース出力
C.シェル出力

1.ブラウザ画面出力

　閲覧数:494　投稿日:2015-11-27　更新日:2015-12-04　

1.ブラウザ画面出力

クロスサイト・スクリプティング対策（HTMLエスケープ）

実施タイミング
・HTML生成時

htmlspecialchars（）
str_replace（）
strip_tags（）

2.データベース出力

　閲覧数:541　投稿日:2015-12-01　更新日:2015-12-08　

2.データベース出力

SQLインジェクション対策
・SQL特殊文字のエスケープ
※関数を利用する場合、エスケ－プするべき文字はデータベースごとに異なっているため、それぞれに対応するエスケープ関数を使う必要がある

addslashes($string）
・PostgreSQL,Oracleなど

mysql_real_escape_string($string)
・MySQL

sqlite_escape_string($string)
・SQLite

プリペアード・ステートメント

register_globals

コメント投稿(ログインが必要)

順位	ページタイトル抜粋	％
1	エスケープ	100
2	スコープ	67
3	エスケープシーケンス	67
4	エラー	50
5	エラー	50
6	グローバルスコープ	43
7	リソース型	40
8	エラーレベル	36
9	スコープ定義演算子(::)	33
10	ラッパークラス	33
11	エラーメッセージ	31
12	インターフェイス	31
13	クロスサイトリクエストフォージェリ	27
14	エラー出力レベル設定	27
15	スーパーグローバル変数	25
16	クラス	25
17	ソート	25
18	メンバー	22
19	型キャスト	20
20	クラス定数	20
	2025/4/20 6:50 更新

順位

ページタイトル抜粋

％

100

2025/4/20 6:50 更新

順位	ページタイトル抜粋	アクセス数
1	Warning: Division by zero \| Warning(エラーメッセージ)	26
2	PHPで定数を定義する方法は2種類ある／配列定数の定義	5
3	Warning: PDO::query(): LOAD DATA LOCAL INFILE forbidden \| Warning(エラーメッセージ)	4
3	コード例　… 「例外処理」はネストすることができる	4
3	Parse error: syntax error, unexpected 'public' (T_PUBLIC) \| Parse error(エラーメッセージ)	4
4	Fatal error: require_once(): Failed opening required 'PEAR.php' \| Fatal error(エラーメッセージ)	3
4	Warning: strlen() expects parameter 1 to be string, array given in ○○.php on line △△ \| Warning(エラーメッセージ)	3
4	( ! ) Fatal error: Uncaught PDOException: SQLSTATE[23000]: Integrity constraint violation: 1048 Column 'カラム名' cannot be null \| Fatal error(エラーメッセージ)	3
5	PDO \| データベース関連	2
5	HTTP_VIA \| 環境変数	2
5	ブラウザを閉じたらセッションデータはどうなるの？ \| セッション	2
5	PHP用語	2
5	curl で Cookie を使用する	2
5	ブラウザを閉じたらセッションデータはどうなるの？ \| セッション	2
5	syntax error \| エラーメッセージ	2
5	parse_url( ) \| 関数	2
5	popen \| ファイルシステム (関数)	2
6	Warning: Unexpected character in input: '\' (ASCII=92) state=1 in ○○.php on line △△ \| Warning(エラーメッセージ)	1
6	Parse error: syntax error, unexpected $end in ○○.php on line △△ \| Parse error(エラーメッセージ)	1
6	Fatal error: Uncaught exception 'ImagickException' with message 'WriteBlob Failed \| エラーメッセージ	1
	2025/4/20 1:01 更新

順位

ページタイトル抜粋

アクセス数

Warning: Division by zero | Warning(エラーメッセージ)

PHPで定数を定義する方法は2種類ある／配列定数の定義

Warning: PDO::query(): LOAD DATA LOCAL INFILE forbidden | Warning(エラーメッセージ)

コード例　… 「例外処理」はネストすることができる

Parse error: syntax error, unexpected 'public' (T_PUBLIC) | Parse error(エラーメッセージ)

Fatal error: require_once(): Failed opening required 'PEAR.php' | Fatal error(エラーメッセージ)

Warning: strlen() expects parameter 1 to be string, array given in ○○.php on line △△ | Warning(エラーメッセージ)

( ! ) Fatal error: Uncaught PDOException: SQLSTATE[23000]: Integrity constraint violation: 1048 Column 'カラム名' cannot be null | Fatal error(エラーメッセージ)

PDO | データベース関連