ささきしき

チラシ

2015-07-01から1ヶ月間の記事一覧

【化石】htmlspecialcharsで文字参照まで無効化したときの対策

PHP

問題発生の経緯 HTML, PHP, MySQL の文字コード設定がEUC-JPであったため(だと思うが)、絵文字や一部記号が数値文字参照("&#〜〜")でDBに登録されていた。 動作テスト中に、DB内にXSSが仕込める事に気づく。 こちらを参考に、htmlspecialcharsをechoにか…