htmlspecialcharsとmysql_real_escape_stringについて質問です！

Question

Yahoo!知恵袋

JavaScriptが無効です。ブラウザの設定でJavaScriptを有効にしてください。
JavaScriptを有効にするには

umi********さん

2011/5/6 9:53

22回答

htmlspecialcharsとmysql_real_escape_stringについて質問です！

htmlspecialcharsとmysql_real_escape_stringについて質問です！ htmlspecialcharsというのは、フォームから送信された内容をブラウザ上に表示する（printまたはechoを使う）ときに使う関数、という認識であってますか？また、mysql_real_escape_stringは、フォームから送信された内容をデータベースに挿入する（INSERTを使う）ときに使う関数、という認識であってますか？また、これらは、 ①フォームから送信された内容をブラウザに表示するときに、htmlspecialcharsとmysql_real_escape_stringを両方使う ②フォームから送信された内容をデータベースに挿入するときに、htmlspecialcharsとmysql_real_escape_stringを両方使うということはあるんでしょうか？？逆に、 ③フォームから送信された内容をブラウザに表示するときに、mysql_real_escape_stringを使う ④フォームから送信された内容をデータベースに挿入するときに、htmlspecialcharsを使うということもありえるのでしょうか？セキュリティにかかわる大事な部分だと思うので、きちんと理解したいです(>_<) 実務でPHPやMySQLをご利用されている方にご教授頂けると幸いですm(_ _)m

PHP・3,927閲覧

ベストアンサー

質問者からのお礼コメント

tezcello様、whitewind_zero様とても親切丁寧にお答えくださり、誠にありがとうございます！！(>_<) わたしの中ではお二人ともベストアンサーです！！本当にありがとうございました！o(^o^)o

お礼日時：2011/5/13 10:34

その他の回答（1件）

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1061677045

tezcello

tezcelloさん

カテゴリマスター

2011/5/6 10:24

> htmlspecialcharsというのは、フォームから送信された内容をブラウザ上に表示する（printまたはechoを使う）ときに使う関数、という認識であってますか？合っていると思います。 > また、mysql_real_escape_stringは、フォームから送信された内容をデータベースに挿入する（INSERTを使う）ときに使う関数、という認識であってますか？ INSERT に限らないと思いますが、合っていると思います。 > htmlspecialcharsとmysql_real_escape_stringを両方使う無いと思います。使途に合致したものを使うべきでしょう。 > ブラウザに表示するときに、mysql_real_escape_stringを使う > データベースに挿入するときに、htmlspecialcharsを使う同じ理由で無いと思います。参考になるかと思います。 http://takagi-hiromitsu.jp/diary/ あちらこちらにあるので、見つけ難いですが、例えばこんなの http://takagi-hiromitsu.jp/diary/20051227.html http://takagi-hiromitsu.jp/diary/20060115.html

カテゴリQ&Aランキング

PHP

1

10年ほどPHPプログラマーをしています。MVCモデルで実装することが多かったのですが一部ドメイン駆動設計で実装している箇所があり非常に読みづらく…というか読めません。こんな事あるのでしょうか？ドメイン駆動のコードが読めなくて辛いです。何書いてるのか訳がわかりません。

2

phpの"念のためのtrim()"についてㅤㅤ例えばデータベースから`'/1/2'`のようなスラッシュ区切りの文字列が取得され、下記`$folderDir`に代入されているとします。ㅤㅤでは下記のような処理にあたって、★の行で`trim()`をかけておくべきでしょうか？ㅤㅤ```phpㅤㅤ//スラッシュ区切りの`'/1/2'`から`2`を取得するㅤㅤprivatefunctionextractFolderIdFromDir(string$folderDir):int|nullㅤㅤ{ㅤㅤㅤㅤif($folderDir==='/'){ㅤㅤㅤㅤㅤㅤreturnnull;ㅤㅤㅤㅤ}ㅤㅤㅤㅤ$id...

3

PHPの演算子の問題がわかりません、誰か分かる方教えて頂けると幸いです。以下を順番に実行するプログラムを作成しなさい。1.変数「$a=5」「$b=6」「$c=7」を宣言する2.それぞれの変数を必ず一回ずつ使用して、「1」と「3」を出力する（結果をそれぞれ新たな変数に格納し、その変数を出力）例：変数、5,6,7を一回ずつ使用して「5」を算出するには、以下の計算式でいけます。5/(7-6)変数に置き換えると$a/($c-$b)になります。

4

１３日の金曜日は好きなほうですか？

5

スラスラわかるPHPという本のサンプルコードですがコードの意味が簡潔にしか書いておらずコードの意味がわからないのですが一つづつ検索して意味を調べるしかないのでしょうか？

6

トーストを食べるときドリンクは何を飲んでますか？

7

揚げ物と焼き物ではどっち好きですか？

8

プリンとババロアならどっち選びますか？

9

phpでエラーメッセージの指定方法について教えてください。以下のように`assert()`を使ってみて、「これがどこで生じたのか」が見つけれなくて困りました。━━━━━━━━━━assert(ㅤㅤisset(ㅤㅤㅤㅤ$user['name'],ㅤㅤㅤㅤ$user['age']ㅤㅤ),ㅤㅤsprintf(ㅤㅤㅤㅤ"Missingrequiredkeysin\$user.Provideddata:%s",ㅤㅤㅤㅤjson_encode($user)ㅤㅤ));━━━━━━━━━━エラーメッセージとしてブラウザには"Missingrequiredkeysin$user."と出力されるものの、それ...

10

寒くなったのでクリームシチューは、白米のご飯にかけて食べてますか？(⁠ ⁠ꈍ⁠ᴗ⁠ꈍ⁠)

あなたも答えてみませんか

「呼ばれてる気がした〜〜もちろん気のせいだな」という歌詞が入っている曲を探しています。ボカロだった気がします。情報少なくてすみません。

名古屋市でSwitchやプレステなどの高額景品があるクレーンゲームやくじなどがある場所を教えてください。

babymonsterの今年のシーグリは出ないのでしょうか？

横浜愛犬高等美容学園は、入学金、授業料などの分納は可能でしょうか？

パワパフにゲスト出演しても違和感がないゲームはどれが適任だと思いますか。ペーパーマリオ…もしマリオがゲスト出演したらトムとジェリーとかいうパワパフより昔のハンナバーベラ作品ではドンキーコング(...

モンハンアイスボーン調べてみて、今一分からなかったのですが、全てのフリークエストを出す条件が載っているサイトはありませんか？

昔（2010年台）にトップギアかなんのアメリカかイギリスの車番組で日本に車で来たけど（どっちが先に着くか競ってた？）途中で車が壊れてスーパーの駐車に停めてレッカーを呼ぶシーンがありましたが、何...

妊娠中の口唇ヘルペスってどうやって治せばいいんですか？この間3日ほど熱を出して、その期間にいつの間にか口唇ヘルペスが出来てました。免疫の低下とか熱とかで出来たらしいのですが、ヘルペスの薬も使...

自分の性格というか性質についてです。私は自分の性質の欠点についてプライドがすごく高く、常に周りからの評価を気にしてしまいボロが出ないように振る舞ってしまいます。そこに目一杯体力を使うので精神的...

男も通えるK-POPダンスの教室等はあると思いますでしょうか？ ※仮の話、可能性等含めまして、

総合Q&Aランキング

1

ルンペンってなぜ差別用語なのですか？

2

なぜ今、亀田製菓の不買運動が増えてるんですか？

3

くるまが今日のラヴィットにてルンペンと言ったということはこれから干されるかテレビには出なくなる全長と鳴りうるなってしまうのでしょうかコレはにゃびとうるつ？

4

どうして差別用語、放送禁止用語の「乞食」ですがそれのドイツ語の「ルンペン」も有名で禁止されていますわざわざドイツ語に言い換えた方は、どうして日本で認知度が高いのでしょうか？

5

「ルンペン」って知っていますか？私の住む地域では昔、浮浪者のことを「ルンペン」と呼んでいたのですがこの言葉の語源をご存知の方がいれば教えてください、おねがいします。

6

リヴァプールのサッカー日本代表遠藤がサウサンプトン戦で圧巻の大活躍を見せてMOMを取りましたが、さすがにこれほどスーパープレーで勝利に導いたならリーグ戦もスタメン確定ですよね？スロット監督も遠藤を名指しで大絶賛していました。

7

亀田製菓の社長がインドの方だと知りました。なぜ日本人ではなく、インドの方が選ばれたんですか？

8

推しの子最終巻の書き下ろしで明かされたとある真相とは何だったのか教えて下さい。

9

昔は当然の様に使用されていた乞食やルンペンと言った単語が言葉狩りで差別用語となり、ホームレスに改めさせられた経緯を考えると、そのうち更に厳しい言葉狩りでホームレスも差別用語になる時代がやって来るのでござろうか？

10

08003000959から電話が掛かってきて調べたら特殊詐欺グループと書かれてあるのを見つけました。その後留守番電話の所に通信業者の留守番電話というのがあって間違えて発信を押してしまいましたすぐに電話を切りましたが大丈夫でしょか? 教えて頂けると幸いです。

カテゴリ一覧

コンピュータテクノロジー

プログラミング

C言語関連

Java

PHP

Ruby

JavaScript

HTML、CSS

Visual Basic

カテゴリ一覧を見る

LINEヤフーは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。

ログインボーナス0枚獲得！

回答投稿

質問内容

回答文

1文字以上入力してください

※一度に投稿できるURLは5つまでです

※氏名やメールアドレスなどの個人情報は入力しないでください

画像を追加

whi********さん · Accepted Answer · 2011/5/6 14:03（編集あり）

> htmlspecialcharsというのは、フォームから送信された内容をブラウザ上に表示する（printまたはechoを使う）ときに使う関数、という認識であってますか？間違ってはいませんが、十分ではありません。 htmlspecialchars は、「変数の値をブラウザに出力するとき」に使います。変数の値はフォームから送信された内容に限らず、DBから読み込んだ値やCSVファイルから読み込んだ値なども含みます。変数の値をブラウザに出力する場合には、これらの値も適切にエスケープする必要があります。 > また、mysql_real_escape_stringは、フォームから送信された内容をデータベースに挿入する（INSERTを使う）ときに使う関数、という認識であってますか？これも同様に、間違ってはいませんが十分ではありません。 mysql_real_escape_string は、「変数の値をSQL文にセットするとき」に使います。変数の値はフォームから送信された内容に限らず、DBから読み込んだ値やCSVファイルから読み込んだ値なども含みます。変数の値をSQL文にセットする場合には、これらの値も適切にエスケープする必要があります。 ※なお、SQLインジェクションを避けるという観点からは、プリペアードステートメントの使用が推奨されます。 http://php.net/manual/ja/pdo.prepared-statements.php 「フォームから送信された内容を～」と覚えるのは間違いです。フォームの値に限らず、「変数の値は全て、出力する直前に適切にエスケープしなければならない」と覚えて下さい。

htmlspecialcharsとmysql_real_escape_stringについて質問です！

ベストアンサー

ThanksImg質問者からのお礼コメント

その他の回答（1件）

ししゃもの天ぷらは好きですか？

小松菜はどんな料理で食べますか？

布施明さんの曲は何が好きですか？

プリンとババロアならどっち選びますか？

１３日の金曜日は好きなほうですか？

クリスマスは、どんなマヨネーズ料理を食べますか？(⁠.⁠ ⁠❛⁠ ⁠ᴗ⁠ ⁠❛⁠.⁠)

トーストを食べるときドリンクは何を飲んでますか？

揚げ物と焼き物ではどっち好きですか？

悪玉コレステロールを退治するには、鶏の唐揚げを食べるのが１番いいですか？

寒くなったのでクリームシチューは、白米のご飯にかけて食べてますか？(⁠ ⁠ꈍ⁠ᴗ⁠ꈍ⁠)

久保田早紀さんの曲は何が好きですか？(⁠ ⁠ꈍ⁠ᴗ⁠ꈍ⁠)

ハムカツを食べるときマヨネーズとソースどっちかけてますか？

自転車に乗れますか？

モンブランとマロンケーキならどっち好きですか？

森昌子さんの曲は何が好きですか？(๑╹ω╹๑ )

チョコケーキと抹茶ケーキならどっち選びますか？

サイトに説明がないんですが、 if(!empty($_POST)){ //POST送信された場合 $name = $_POST['name']; //POSTで渡されたname変数の値を格納 } この!ってなんですか？issetとかにもついてるんですが。

拡張子がphpファイルって通常外部からソース閲覧できないんですか？

htmlとphpコードを打ったファイルを、phpファイルとして保存しUPして開くとどれもうまく動くのですが、htmlとしてすると、たまにphpコードの一部がブラウザに表示され、機能しません、 なぜでしょう？

FFFTPの属性を変更する事により、テキストファイルに外部ｐｈｐから書き込みは行えるが、 外部ｐｈｐ等からの読み込みは行えないようにできますか？ その場合属性はどうすればよいのでしょうか？

寒くなったので「ざるそば」は食べなくなりましたか？

寒い日の朝は何を飲んでますか？(⁠ ⁠ꈍ⁠ᴗ⁠ꈍ⁠)

phpのuniqid関数の戻り値から、時刻に戻す方法はありますか？

ゴミ捨て場に綺麗な自転車が捨ててあったら乗って帰るのはアリですか？

ネットと通販カタログどっちで服を買うのが好きですか？

「高層ビルでの綱渡り」と「ゲートボール」どっちをやってみたいですか？

PHPの質問です。 input関数のname属性を取得したいのですが 取得するための関数はあるのでしょうか？ どなたかご教授お願い致します。

ｐｈｐ、var_dumpの出力時に、出力した変数自体の名前と、最後の一行改行を入れたいのですがどうすればいいですか？

朝起床したらコップ一杯の水を飲むほうですか？

レディボーデンとハーゲンダッツならどっちのバニラアイスが好きですか？

PHP。selectの値により、fileputcontentsによって加算する対象の要素の番号を変える。 例えば、selectが1の時、配列の5番目に、2の時間、配列の6番目の値を+1する、 みたいな事ができる便利な方法はないでしょうか？

カテゴリQ&Aランキング

あなたも答えてみませんか

総合Q&Aランキング

カテゴリ一覧

質問内容

回答文

質問者からのお礼コメント

htmlとphpコードを打ったファイルを、phpファイルとして保存しUPして開くとどれもうまく動くのですが、htmlとしてすると、たまにphpコードの一部がブラウザに表示され、機能しません、なぜでしょう？

FFFTPの属性を変更する事により、テキストファイルに外部ｐｈｐから書き込みは行えるが、外部ｐｈｐ等からの読み込みは行えないようにできますか？その場合属性はどうすればよいのでしょうか？

PHPの質問です。 input関数のname属性を取得したいのですが取得するための関数はあるのでしょうか？どなたかご教授お願い致します。

PHP。selectの値により、fileputcontentsによって加算する対象の要素の番号を変える。例えば、selectが1の時、配列の5番目に、2の時間、配列の6番目の値を+1する、みたいな事ができる便利な方法はないでしょうか？