htmlspecialchars ／ htmlentities ／ addslashes ／ mysql_real_escape_string ／ mysqli_real_escape_string

結論

　状態:- 　閲覧数:3,319 　投稿日:2015-11-07 　更新日:2018-04-26 　

「クロスサイトスクリプティング対策」と「ＳＱＬインジェクション対策」では、変換すべき文字や、変換後の文字が異なる
・この２つは全く別物として考える
・原則的にサニタイズはHTML表示時かMySQLのquery発行時にその都度行なう

一覧

htmlspecialchars、htmlentities、addslashes、mysql_real_escape_string、mysqli_real_escape_string

関数	方式	内容	対象数
htmlspecialchars	エンコード	特殊文字を HTML エンティティへ変換	5
htmlentities	エンコード	全ての HTML 文字エンティティを変換	約100
addslashes	エスケープ	クォートされるべき文字の前にバックスラッシュを挿入した文字列を返す	4
mysqli_real_escape_string	エスケープ	SQL 文中で用いる文字列の特殊文字をエスケープ	7
mysqli::real_escape_string	エスケープ	接続の現在の文字セットを考慮して、SQL 文で使用する文字列の特殊文字をエスケープ	7

※mysqli::real_escape_string と mysqli_real_escape_string は、引数の数が異なる

htmlspecialchars

　閲覧数:902　投稿日:2015-11-07　更新日:2015-11-14　

htmlspecialchars

掲示板やゲストブックなどでユーザが書きこんだテキストから HTML のマークアップ用文字を取り除く場合
・特殊文字を HTML エンティティへ変換

ENT_NOQUOTES が設定されていない場合

" (ダブルクォート) → "

ENT_QUOTES が設定されている場合

' (シングルクオート) → '

一覧表

読み方	メタ文字	変換後
アンパサンド	&	&
ダブルクォート	"	"
シングルクォート	'	'
小なり	<	<
大なり	>	>

怠った場合に、引き起こされる可能性があるセキュリティリスク
・クロスサイト・スクリプティング

addslashes

　閲覧数:763　投稿日:2015-11-07　更新日:2015-11-12　

addslashes

データベースへの問い合わせなど

一覧表

読み方	メタ文字	変換後
ダブルクォート	"	\"
シングルクォート	'	\'
バックスラッシュ	\	\\
NULL バイト	NUL	\NUL

mysql_real_escape_string

　閲覧数:837　投稿日:2015-11-07　更新日:2015-11-11　

mysql_real_escape_string

SQL 文中で用いる文字列の特殊文字をエスケープ
・PHP 5.5.0 で非推奨になり、PHP 7.0.0 で削除

読み方	メタ文字	変換後
ダブルクォート	"	\"
シングルクォート	'	\'
バックスラッシュ	\	\\
NULL バイト	\x00	\\x00
改行	\n	\\n
カーソルを文頭へ戻す制御コード（Carriage Return）	\r	\\r
ファイル終端を示す制御コード（End Of File）	\x1a	\\x1a

怠った場合に、引き起こされる可能性があるセキュリティリスク
・SQLインジェクション

mysqli::real_escape_string

　閲覧数:854　投稿日:2015-11-08　更新日:2015-11-12　

mysqli::real_escape_string

接続の現在の文字セットを考慮して、SQL 文で使用する文字列の特殊文字をエスケープ

怠った場合に、引き起こされる可能性があるセキュリティリスク
・SQLインジェクション

strip_tags

　閲覧数:718　投稿日:2018-04-26　更新日:2018-04-26　

基本的な使い方

$str = '<b>PHP用語</b>';

echo strip_tags($str); //PHP用語

許可するタグを指定

$str = '<div><p><span>PHPデモ</span></p></div>';

echo strip_tags($str); //PHPデモ



//許可するタグを指定

echo strip_tags($str, '<p><span>'); //<p><span>PHPデモ</span></p>

注意事項

結果的にhtmlタグを削除しているだけ
・htmlタグであると判断して削除しているわけではない

<hoge></hoge>を削除する例

$str = '<div><hoge><p><span>PHPデモ</span></p></hoge></div>';

echo strip_tags($str); //PHPデモ

 

//許可するタグを指定

echo strip_tags($str, '<hoge><p><span>'); //<hoge><p><span>PHPデモ</span></p></hoge>

strip_tags

文字列からHTMLタグを除去
PHP HTMLタグ PHPタグを除去・削除したい strip_tags() | WEPICKS!

SQLインジェクション

入力フィルタリング

順位	ページタイトル抜粋	％
1	Sorry, that page does not exist.	20
2	include_path	20
3	session.entropy_file ／ session.entropy_length	19
4	htmlspecialchars ／ htmlentities ／ addslashes ／ mysql_real_escape_string ／ mysqli_real_escape_string	19
5	Maximum function nesting level of '256' reached	19
6	#1548 - Cannot load from mysql.proc. The table is probably corrupted	19
7	http_build_query	19
8	( ! ) Warning: Declaration of xxxx should be compatible with	19
9	SHA-1(Secure Hash Algorithm 1)	19
10	Fatal error: require_once(): Failed opening required 'PEAR.php'	18
11	preg_match	18
12	Fatal error: require_once(): Failed opening required 'XML/RSS.php'	18
13	session.gc_maxlifetime	18
14	Parse error: syntax error, unexpected 'public' (T_PUBLIC)	18
15	register_shutdown_function	18
16	session_set_save_handler()	18
17	Deprecated: Assigning the return value of new by reference is deprecated	18
18	( ! ) Warning: file_put_contents(/a/b.jpg): failed to open stream: No such file or directory in	18
19	Parse error: syntax error, unexpected end of file	17
20	Fatal error: Uncaught Error: Call to a member function modify() on string	17
	2025/11/17 6:18 更新

順位	ページタイトル抜粋	アクセス数
1	T_CONSTANT_ENCAPSED_STRING \| エラーメッセージ	3
1	curl で Cookie を使用する	3
2	セッション	2
2	SessionHandler::gc \| セッション	2
2	セッション名 \| セッション	2
2	PHPにおけるメソッドのオーバーライドについて／「引数の数や型は、親クラスのメソッドと完全に一致していなければなりません。」とは具体的にどういう意味ですか？	2
2	http_build_queryとは？／構文／パラメータ	2
2	Fatal error: Uncaught Error: Call to a member function modify() on string \| Fatal error(エラーメッセージ)	2
2	結合時の評価と優先順位 \| 演算子	2
2	Warning: strlen() expects parameter 1 to be string, array given in ○○.php on line △△ \| Warning(エラーメッセージ)	2
3	日付および時刻関連 \| 関数	1
3	session_start() \| セッション	1
3	dirname() ／ (__FILE__ ) ／ basename( dirname( __FILE__ ) ); \| 関数	1
3	( ! ) Deprecated: implode(): Passing glue string after array is deprecated. Swap the parameters in ★★★ headless-chromium-php/vendor/wrench/wrench/lib/Wrench/Protocol/Protocol.php \| エラーメッセージ	1
3	set_error_handler \| 例外処理(制御構造)	1
3	spliceImageメソッド \| Imagickクラス	1
3	エラーメッセージ／エラー原因／エラー対応	1
3	Fatal error: Wrong parameters for Exception([string $exception [, long $code ]]) \| Fatal error(エラーメッセージ)	1
3	( ! ) Fatal error: Uncaught Abraham\TwitterOAuth\TwitterOAuthException: 現在この機能は一時的にご利用いただけません \| Fatal error(エラーメッセージ)	1
3	Fatal error: Non-abstract method クラス名::メソッド名 must contain body in ○○.php on line △△ \| Fatal error(エラーメッセージ)	1
	2025/11/17 1:01 更新

結論

一覧

htmlspecialchars

htmlspecialchars

addslashes

addslashes

mysql_real_escape_string

mysql_real_escape_string

mysqli::real_escape_string

mysqli::real_escape_string

strip_tags

基本的な使い方

注意事項

コメント投稿(ログインが必要)

ゲスト … 1行コメント投稿