【PHP】下らねぇ質問 ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
11:nobodyさん 08/03/17 04:09:43 php.iniのmbstringのセクションを以下のようにしました。 かえた方がいいところがあれば教えて下さい [mbstring] mbstring.language = Japanese mbstring.internal_encoding =UTF-8 mbstring.http_input = auto mbstring.http_output =UTF-8 mbstring.encoding_translation = Off mbstring.substitute_character = none mbstring.func_overload = 0 mbstring.strict_encoding = Off 12:nobodyさん 08/03/17 05:17:29 いつになったら元のテンプレにかわるんだか 13:nobodyさん 08/03/17 05:52:26 l3H5wOjF 外部から受け取った値$_POST['hoge']を、 <a href〜>でリンクさせた文字列に変換して返す関数があるのですが、 XSS対策にエスケープするのは、関数内でやるか、echoしたときにやるか、 どちら側でやったほうがいいのでしょうか? function hoge($str) { return "<a href=\"$str\">$str</a>\n"; } echo hoge($_POST['hoge']); 上記がXSSなので、 function hoge($str) { $escape = htmlspecialchars($str); return "<a href=\"$escape\">$escape</a>\n"; } と関数内でエスケープ済みのを返すか、 echo htmlspecialchars(hoge($_POST['hoge']); とechoの時点でエスケープするか。 どっちがいいのでしょう?よろしくお願いします。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5384日前に更新/35 KB
担当:undef