htmlspecialchars 〜プログラム研究室〜



 ナビゲータのEVEです。
プログラミング.jpg
 昨日まで PHP の仕様について調べてきましたが、正直って、こんなコトするのは珍しいことです。普通は最初覚えた仕様で作っていきます。本日は、そういうことをしていると損をしてしまうという話です。

[htmlspecialchars]
htmlspecialchars は、PHP4.0に追加された関数です。htmlspecialcharsの仕様目的は、PHPの教本などを読んでいると、 クロスサイドスクリプティング 対策としていますが、実は他にもあります。それは、データベースへの登録です。
 現在のバージョンは不明ですが、以前の MySQL などでは、htmlspecialcharsによりエスケープしていない文字列を登録しようとした場合、エラーになることがあります。そのため、ユーザーが入力するデータばかりではなく、実は、データベースに登録するすべてのデータはエスケープしなければなりませんでした。

[Knowlegeシステム]
 以前から、勉強した知識など、 Prototype EVE Knowlege システムへ登録して、知識として残しているという話をしていますが、そのシステムでも、 HTML 画面から入力した情報を、必ず、htmlspecialcharsを使って、 エスケープ しています。ただ、知識として残そうとしているため、入力した情報をいろいろなタグを使用して表示したいというニーズがあります。
 ただ、HTMLをブログで使用しようとした人は知っていると思いますが、HTMLタグを<textarea>から入力したデータは実はきれいに表示することができません。そのため、Knowlegeシステムでは、きれいに表示できるように、独自タグを利用して、強引にきれいに見えるように変換しています。
 ただ、そこで困ったことが出てきます。タグを変換した文字列には、必ず & (アンバサンド)が入るのですが、何回か変換すると、&(アンバサンド)のampがどんどん増えていくのです。以下がその例です。

変換前→&
1回目の変換→&amp;
2回目の変換→&amp;&amp;
3回目の変換→&amp;&amp;&amp;
 ・
 ・
 ・
 ・


バグがあった場合などや、データベースの登録方法などにより、何回もhtmlspecialcharsが使用されると以上のようなことになり、&を表示したいだけなのに、全く違う文字列になってしまうということがあります。

[PHP5.0]

独習PHP/山田祥寛【3000円以上送料無料】

価格: 3740円
(2024/11/21 17:24時点)
感想(0件)



 ただ、今回 独習PHP第4版 を読んで知ったのですが、PHP5.0からhtmlspecialcharsへある引数を設定することにより、特殊文字表記を崩さずに変換できるという機能が追加されました。以下が、構文です。

htmlspecialchars(string $string , int $flags = ENT_COMPAT, ?string $encoding = null, bool $double_encode = true): string


$string (string)
 エスケープしたい文字列を指定します。

$flags (int)


$encoding (?string)
 文字エンコーディングを指定します。指定しない場合、PHPのデフォルトエンコーディング(通常は UTF-8)が使用されます。null を渡すことも可能です。

$double_encode (bool)
 デフォルトは true です。true の場合、既にエスケープされた文字(例えば、&)も再エスケープします。false の場合は、再度エスケープしません。



以上の $double_encode にfalseと指定すれば問題ないところを、実は、Knowlegeシステムでは、涙ぐましい努力をしています。独習PHP第4版を読んでいるとき、この機能を知っていれば、もっと楽ができたのにと、しみずみと感じてしまいました。
 但し、htmlspecialcharsで変換される、タグは以下の通りです。

& (アンパサンド) → &amp;
< (小なり) → &lt;
> (大なり) → &gt;
" (ダブルクオート) → &quot;
' (シングルクオート) → &#039; または &apos;(ただし、$flags によって異なる動作をする場合があります)



[あとがき]
 htmlspecialcharsで変換できる特殊文字は、以上5種類だという話をしましたが、実は文字表記としては、今日までの調べでは、 252種類 あります。
 252種類の文字表記すべてに&(アンバサンド)がついており、その対応は実は自分でしなければなりません。本日は、その対応に半日近く使ってしまいました。明日は、今日の続きと言うことでそのことを話しましょう!

 では、また!!!
タグ: エスケープ html Knowlege MySQL htmlspecialchars PrototypeEVE クロスサイドスクリプティング php
【このカテゴリーの最新記事】
posted by ゼロから始めるシステム開発 at 17:21 | Comment(0) | TrackBack(0) | プログラミング研究室
検索
<< 2024年11月 >>
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
最新記事
(11/22) エンティティ参照への対応 〜プログラム研究室〜
(11/21) htmlspecialchars 〜プログラム研究室〜
(11/20) アロー関数 〜プログラム研究室〜
(11/19) 無名関数 〜プログラム研究室〜
(11/17) サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) 〜セキュリティ研究室
タグクラウド
カテゴリーアーカイブ
YouTubeでの稼ぎ方研究室 (23)
システム開発研究室 (114)
セキュリティ研究室 (40)
システム監査研究室 (13)
ハードウェア研究室 (17)
ネットワーク研究室 (6)
ソフトウェア研究室 (76)
プログラミング研究室 (97)
デザイン研究室 (1)
データベース研究室 (3)
先端技術研究室 (3)
株式投資研究室 (35)
人工知能研究室 (6)
Coffee Time (67)
ゼロからはじめるシステム開発 (1)
ファン
このブログの読者になる
更新情報をチェックする
ブックマークする
友達に教える
最新コメント
Ubuntuをインストールする −インストール準備− 〜ソフトウェア研究室〜 by 中村 健 (03/11)
プロフィール
ゼロから始めるシステム開発さんの画像
ゼロから始めるシステム開発
 こんにちは!ナビゲータのEVEです。各種研究室を用意し、次期EVEシステムを製造しようと日々頑張っています。現在一番力を入れているのが、資金調達です。このブログもその一環ですので、ご協力いただければ嬉しいです。

2024年11月21日

この記事へのコメント
コメントを書く

お名前:

メールアドレス:


ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバックURL
https://fanblogs.jp/tb/12787737
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
Mobilize your Site
スマートフォン版を閲覧 | PC版を閲覧
    Share by: