サニタイジング

2009/02/15

ブログアプリだったら、コメント欄などの自分じゃない他人が入力した文字列の表示時には、忘れずサニタイジングしなければならない。
忘れるときけんキケン。

サニタイジングを、
データ表示時にするか、
データ保存時にやってしまっておくか、
というのもありますが、
これはデータの性質にもよるが、
データ保存は手をつけずにそのまま行い、データ表示時にサニタイジングするのが一般的。だと思う。

ビューでのサニタイジング

Railsと同様にhメソッドで可能。
<%= h(comment.body) %>

phpコードだと以下のようになる。
<?php echo $text_helper->h($comment->body); ?>


というわけで実装はTextHelperにある模様。

ビュー以外

TextHelperを使えばいい。
$this->comment->body = TextHelper::h($this->comment->body);



なお、hじゃなくてhtml_escapeと書いてもいいところまでRailsと同様。

PHP and Akelos | コメント(0) | トラックバック(0)
トラックバック
トラックバックURL:
コメントをどうぞ
名前 (入力しなければ「通りすがり」):

メールアドレス (入力しても公開されません):

URL (入力すればリンクが張られます):


コメント:

(コメントにタグなどを使ってもタグがそのままが表示されます)