いつhtmlspecialchars（）関数を使用するのですか？

Question

こんにちは いつhtmlspecialchars（）を使用するのが適切なのでしょうか。データをデータベースに挿入する前か、データベースからデータを取り出す前ですか？

Answer 1

データをHTMLにエコーするときにのみ、このメソッドを呼び出す必要があります。

データベースにエスケープされたHTMLを保存しないでください。それはちょうどより迷惑なクエリになります。
データベースには、HTML表現ではなく、実際のデータを格納する必要があります。

Answer 2

htmlspecialcharsEVERYあなたはHTML内でコンテンツを出力するので、HTMLではなくコンテンツとして出力します。

コンテンツをHTMLとして扱うことを許可すると、最低でもバグへの扉が開かれたばかりであり、XSSの合計が最悪の場合はハッキングします。

Answer 3

ユーザーが入力したものをデータベースに保存します。 これをpublicに表示するときは、htmlspecialchars()を使用して、xss保護を提供します。

Answer 4

ガイド - あなたは1つのシンプルなコンセプトを理解する必要が開始するにはPHP

にはhtmlspecialchars（）関数を使用する方法：レンダリングを。

どのようなレンダリングですか？ HTMLはこのこんにちはのような大胆に

<b>Hello</b> 

を変換する際 レンダリングです。それはレンダリングです。

だから...いつhtmlspecialchars（）関数を使用するのですか？

HTMLコンテンツをレンダリングする場所はどこにでもあります。 たとえば、あなたはjQueryのを使用していて、あなたがこれを行う場合：

$("#YourDiv").html("<b>Hello</b>"); 

のdivの内容は、こんにちはになります。テキストをHTMLにレンダリングしました。

あなたがこの方法でメッセージを表示する場合（ユーザーが書いた）：

<b>Hello</b> 

あなたが入れてあります。

$("#YourDiv").text("<b>Hello</b>"); 

こんにちはがレンダリングされることはありませんそのように。

メッセージ（ユーザーが書いたように）テキストボックスに、テキストエリアなどをロードしたい場合は...あなたが入れてあります。

<input type="text" class="Texbox1" value=""> 

<script> 
$(".Textbox1").val("<b>Hello</b>"); 
</script> 

インサイド

<b>Hello</b> 

が表示されます問題のないテキストボックス。

結論：これまで

どのようなデータフォームへのユーザー入力、など...通常は、データを保存します。 機能を使用しないでください。ユーザーが12345をそのまま送信した場合。何もフィルタリングしないでください。ページ内のデータをユーザーに表示するときにフィルタをかけるだけで済みます。あなたは、あなたがレンダリングするかどうか、またはユーザーが書いたものを選択するかどうかだけを決定します。 *それを覚えています。

よろしくお願いいたします。