2-7 エスケープを行う [PHPセキュリティー]

エスケープは非常に大切であり、セキュリティーの要となります。エスケープとは出力先に合わせてデータを適切な形に変更することです。例えば、httpクライアント(ブラウザ)への出力時、データベースへ送信時、など、PHPから別の場所にデータを送信する際には、そのデータを適切にエスケープ処理する必要がある。出力先で送信したデータが誤った解釈をさせるとアプリケーションに重大な脆弱性が発生する可能性があります。

出力データとはPHP以外の場所に出力するデータのことです。出力先がhttpクライアントであったり、URLであったり、データベースであったりします。「echo」「print」を使用した場合は、データをhttpクライアント(ブラウザなど)へ送信していることになります。「mysql_query()」を使用した場合は、データをMySQLデータベースへ送信しているということになります。

以下の場合は、データをhttpクライアント(ブラウザなど)へ送信しています。

エスケープや出力データの詳細はこちらを参照下さい。