前提

• Windows 10

• PHP 8.0

• Laravel 8.0.2

背景

• 会社の研修中、PHPの基礎講座を受講

• 今の会社に就職前に独学でPHPを学習していたが、初めて知ったことがあったので、アウトプット

事象(やりたいこと)

• htmlspecialchars関数と一緒に使う"ENT_QUOTES"の意味が分からない

わかったこと

• '(シングルクオーテーション)と"(ダブルクオーテーション)を無害化するために加えるflag定数

※無害化（サニタイズ）：XSS攻撃対策。悪意のあるスクリプトをフォームで扱わないように<, >, ', "などを特殊文字へ変換

※公式マニュアル

所感

• 実際にXSS対策をしていない問い合わせフォームに

をテキストエリアに入力し送信すると、'(シングルクオーテーション)が無害化されていないことを確認できた

• このように実際に目で見て確認しないと効果を実感できないことを知った

• 加えてこれをおろそかにすると、セキュリティを担保をできなくなる点はエンジニアとして責任重大であると知った。