今回は、wechallのhtmlspecialcharsも問題について解説していきたいと思います。

webサイトのxss対策としてhtmlspecialcharsを使うのですが、いわいる特殊文字のスキップのし忘れが存在しています。まず、はじめにgoogle先生にhtmlspecialcharsの書き方を聞いてみましょうそうすると、いろいろ出てくるわけなのですが、今回はXSSなので、シングルコーテーションとダブルコーテーションをスキップさせたいわけなので”ENT_QUOTES”を入れる必要があると分かりました。なので、それを入力して提出してみると、

今回の問題はこれで終了です。XSSが作りこまれてしまう時の事例として、このようにフォームに対してエスケープ処理を忘れてしまっている場合もあるので、webページを作る人も気をつけましょう。