前提
背景
事象(やりたいこと)
- htmlspecialchars関数と一緒に使う"ENT_QUOTES"の意味が分からない
わかったこと
- '(シングルクオーテーション)と"(ダブルクオーテーション)を無害化するために加えるflag定数
※無害化(サニタイズ):XSS攻撃対策。悪意のあるスクリプトをフォームで扱わないように<, >, ', "などを特殊文字へ変換
所感
- 実際にXSS対策をしていない問い合わせフォームに
をテキストエリアに入力し送信すると、'(シングルクオーテーション)が無害化されていないことを確認できた
このように実際に目で見て確認しないと効果を実感できないことを知った
加えてこれをおろそかにすると、セキュリティを担保をできなくなる点はエンジニアとして責任重大であると知った。