Cake Phpでの安全なサイトの作り方2(Xss)
- 8. 例 <?php e(h($value)); ?> View において、 h(htmlspecialchars) を付けて表示させる cake/basics.php で、下記のように処理されている htmlspecialchars($text, ENT_QUOTES, $charset);
- 9. 注意点 htmlspecialchars($text, ENT_QUOTES , $charset); 先ほどの例の 「 ENT_QUOTES 」がないと、シングルクオート をエスケープしてくれないので、これが入っていることが重要! ちなみに、これは CakePHP1.2 の話。では、 1.1 では????
- 10. CakePHP1.1 の場合 htmlspecialchars($text); cake/basics.php でどの様に書いてあるかというと、 「 ENT_QUOTES 」がないですね。 入れておきましょう!!
- 11. これで安心? CakePHP では表示する部分に全て h を付ける事で クロスサイトスクリプティングが防げるかというと、そうでもない。 script タグ、 style タグ、タグの属性に動的要素を出力する場合は、 h を付けてもクロスサイトスクリプティングが起こりうる可能性があるので、注意を払う必要がある。