htmlspecialchars ／ htmlentities ／ addslashes ／ mysql_real_escape_string ／ mysqli_real_escape_string

結論

　状態:- 　閲覧数:2,341 　投稿日:2015-11-07 　更新日:2018-04-26 　

「クロスサイトスクリプティング対策」と「ＳＱＬインジェクション対策」では、変換すべき文字や、変換後の文字が異なる
・この２つは全く別物として考える
・原則的にサニタイズはHTML表示時かMySQLのquery発行時にその都度行なう

一覧

htmlspecialchars、htmlentities、addslashes、mysql_real_escape_string、mysqli_real_escape_string

関数	方式	内容	対象数
htmlspecialchars	エンコード	特殊文字を HTML エンティティへ変換	5
htmlentities	エンコード	全ての HTML 文字エンティティを変換	約100
addslashes	エスケープ	クォートされるべき文字の前にバックスラッシュを挿入した文字列を返す	4
mysqli_real_escape_string	エスケープ	SQL 文中で用いる文字列の特殊文字をエスケープ	7
mysqli::real_escape_string	エスケープ	接続の現在の文字セットを考慮して、SQL 文で使用する文字列の特殊文字をエスケープ	7

※mysqli::real_escape_string と mysqli_real_escape_string は、引数の数が異なる

htmlspecialchars

　閲覧数:554　投稿日:2015-11-07　更新日:2015-11-14　

htmlspecialchars

掲示板やゲストブックなどでユーザが書きこんだテキストから HTML のマークアップ用文字を取り除く場合
・特殊文字を HTML エンティティへ変換

ENT_NOQUOTES が設定されていない場合

" (ダブルクォート) → "

ENT_QUOTES が設定されている場合

' (シングルクオート) → '

一覧表

読み方	メタ文字	変換後
アンパサンド	&	&
ダブルクォート	"	"
シングルクォート	'	'
小なり	<	<
大なり	>	>

怠った場合に、引き起こされる可能性があるセキュリティリスク
・クロスサイト・スクリプティング

addslashes

　閲覧数:439　投稿日:2015-11-07　更新日:2015-11-12　

addslashes

データベースへの問い合わせなど

一覧表

読み方	メタ文字	変換後
ダブルクォート	"	\"
シングルクォート	'	\'
バックスラッシュ	\	\\
NULL バイト	NUL	\NUL

mysql_real_escape_string

　閲覧数:472　投稿日:2015-11-07　更新日:2015-11-11　

mysql_real_escape_string

SQL 文中で用いる文字列の特殊文字をエスケープ
・PHP 5.5.0 で非推奨になり、PHP 7.0.0 で削除

読み方	メタ文字	変換後
ダブルクォート	"	\"
シングルクォート	'	\'
バックスラッシュ	\	\\
NULL バイト	\x00	\\x00
改行	\n	\\n
カーソルを文頭へ戻す制御コード（Carriage Return）	\r	\\r
ファイル終端を示す制御コード（End Of File）	\x1a	\\x1a

怠った場合に、引き起こされる可能性があるセキュリティリスク
・SQLインジェクション

mysqli::real_escape_string

　閲覧数:510　投稿日:2015-11-08　更新日:2015-11-12　

mysqli::real_escape_string

接続の現在の文字セットを考慮して、SQL 文で使用する文字列の特殊文字をエスケープ

怠った場合に、引き起こされる可能性があるセキュリティリスク
・SQLインジェクション

strip_tags

　閲覧数:360　投稿日:2018-04-26　更新日:2018-04-26　

基本的な使い方

$str = '<b>PHP用語</b>';

echo strip_tags($str); //PHP用語

許可するタグを指定

$str = '<div><p><span>PHPデモ</span></p></div>';

echo strip_tags($str); //PHPデモ



//許可するタグを指定

echo strip_tags($str, '<p><span>'); //<p><span>PHPデモ</span></p>

注意事項

結果的にhtmlタグを削除しているだけ
・htmlタグであると判断して削除しているわけではない

<hoge></hoge>を削除する例

$str = '<div><hoge><p><span>PHPデモ</span></p></hoge></div>';

echo strip_tags($str); //PHPデモ

 

//許可するタグを指定

echo strip_tags($str, '<hoge><p><span>'); //<hoge><p><span>PHPデモ</span></p></hoge>

strip_tags

文字列からHTMLタグを除去
PHP HTMLタグ PHPタグを除去・削除したい strip_tags() | WEPICKS!

SQLインジェクション

入力フィルタリング

順位	ページタイトル抜粋	％
1	Sorry, that page does not exist.	20
2	include_path	20
3	session.entropy_file ／ session.entropy_length	19
4	Maximum function nesting level of '256' reached	19
5	#1548 - Cannot load from mysql.proc. The table is probably corrupted	19
6	http_build_query	19
7	( ! ) Warning: Declaration of xxxx should be compatible with	19
8	SHA-1(Secure Hash Algorithm 1)	19
9	Fatal error: require_once(): Failed opening required 'PEAR.php'	18
10	preg_match	18
11	session.gc_maxlifetime	18
12	Fatal error: require_once(): Failed opening required 'XML/RSS.php'	18
13	Parse error: syntax error, unexpected 'public' (T_PUBLIC)	18
14	register_shutdown_function	18
15	session_set_save_handler()	18
16	Deprecated: Assigning the return value of new by reference is deprecated	18
17	Parse error: syntax error, unexpected end of file	17
18	Fatal error: Uncaught Error: Call to a member function modify() on string	17
19	Parse error: syntax error, unexpected $end in ○○.php on line △△	17
20	set_error_handler	17
	2023/6/02 5:05 更新

順位	ページタイトル抜粋	アクセス数
1	ブラウザを閉じたらセッションデータはどうなるの？ \| セッション	30
2	Parse error: syntax error, unexpected 'public' (T_PUBLIC) \| Parse error(エラーメッセージ)	13
3	PHP用語	12
3	Fatal error: Uncaught RuntimeException: SplFileObject::__construct(): failed to open stream: Permission denied in \| Fatal error(エラーメッセージ)	12
4	スコープ \| 変数	11
5	Fatal error: Access level to ▲::$△ must be protected (as in class ●) or weaker \| Fatal error(エラーメッセージ)	10
5	ブラウザを閉じたらセッションデータはどうなるの？ \| セッション	10
6	Fatal error: require_once(): Failed opening required 'PEAR.php' \| Fatal error(エラーメッセージ)	9
7	セッションID \| セッション	8
8	セッション管理が必要な理由は、HTTPプロトコルには状態を保持する機能がないため \| セッション	7
9	Warning: strlen() expects parameter 1 to be string, array given in ○○.php on line △△ \| Warning(エラーメッセージ)	5
9	Warning: include() [function.include]: Failed opening '**.php' for inclusion (in \| Warning(エラーメッセージ)	5
9	コード例　… 「例外処理」はネストすることができる	5
10	curl \| その他のサービス	4
10	型の種類 \| 型	4
10	Cookie \| クッキー	4
10	@ \| 演算子	4
10	Warning: PDO::query(): LOAD DATA LOCAL INFILE forbidden \| Warning(エラーメッセージ)	4
10	Fatal error: Call to undefined method MDB2_Error::execute() in ○○ on line △△ \| Fatal error(エラーメッセージ)	4
11	Fatal error: Cannot access protected property ○○ in △△ on □□ \| Fatal error(エラーメッセージ)	3
	2023/6/2 1:01 更新

結論

一覧

htmlspecialchars

htmlspecialchars

addslashes

addslashes

mysql_real_escape_string

mysql_real_escape_string

mysqli::real_escape_string

mysqli::real_escape_string

strip_tags

基本的な使い方

注意事項

コメント投稿(ログインが必要)

ゲスト … 1行コメント投稿