PHPコーディング規約だって
TrackBack URL :
Comments (2)PHPのhtmlspecialcharsにはENT_QUOTESを付ける
例えば、htmlspecialchars した値は安全だとして、Smarty などで次のように値を割り当てたとすると危険です。
<a href=”http://phpspot.net/php” onclick=”javascript:alert(‘{$assigned}’);”>test</a>
例えば、$assigned 変数に、「’);alert(document.cookie+’」なんていう値がはいっていたらcookieがalertされてしまいます。
<>だけエスケープしておけば大丈夫、ということはいえなくなってしまいます。
うーん。
(続きを読む…)
