アフィリエイト広告を利用しています

広告

posted by fanblog

2015年11月24日

【Smarty】HTMLのエスケープ処理


エスケープ処理は、クロスサイト・スクリプティングなどのセキュリティ上の問題に対し行わなければいけません
「<」や「&」などのHTMLやURLなど、ユーザーから入力された値をそのまま表示するように記述したい箇所には、
エスケープ処理(escape)をします。
Smartyでの実装がとても簡単です。

書き方は以下。

{$変数名|escape:"エスケープ種類"}



これだけでスクリプトタグが打ち込まれても、そのままの入力値で表示される。

エスケープ種類は以下。

html
htmlall
url
urlpathinfo
quotes
hex
hexentity
javascript
mail



デフォルトではエスケープ種類はhtmlになっているので、以下の@とAは同じ処理を示す。

@{$変数名|escape}
A{$変数名|escape:"html"}




オプションがhtmlの場合は「<」や「&」がエスケープされるが、
例えばquotesにすると変数名が「\'」で囲まれる。
mailにすると、「@」や「.」が「AT」「DOT」となる。





posted by newprogramer at 23:39| Comment(0) | TrackBack(0) | Smarty
この記事へのコメント
コメントを書く

お名前:

メールアドレス:


ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバックURL
https://fanblogs.jp/tb/4451415
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック
検索
カテゴリーアーカイブ

最新記事
×

この広告は30日以上新しい記事の更新がないブログに表示されております。