2015年11月24日
【Smarty】HTMLのエスケープ処理
エスケープ処理は、クロスサイト・スクリプティングなどのセキュリティ上の問題に対し行わなければいけません
「<」や「&」などのHTMLやURLなど、ユーザーから入力された値をそのまま表示するように記述したい箇所には、
エスケープ処理(escape)をします。
Smartyでの実装がとても簡単です。
書き方は以下。
{$変数名|escape:"エスケープ種類"}
これだけでスクリプトタグが打ち込まれても、そのままの入力値で表示される。
エスケープ種類は以下。
html
htmlall
url
urlpathinfo
quotes
hex
hexentity
javascript
mail
デフォルトではエスケープ種類はhtmlになっているので、以下の@とAは同じ処理を示す。
@{$変数名|escape}
A{$変数名|escape:"html"}
オプションがhtmlの場合は「<」や「&」がエスケープされるが、
例えばquotesにすると変数名が「\'」で囲まれる。
mailにすると、「@」や「.」が「AT」「DOT」となる。
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
https://fanblogs.jp/tb/4451415
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック