PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由

このエントリは、PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスクリプティング(XSS)の対策を行う際には「エスケープ処理」をしましょうと言われますが、その割にPHP以外の言語ではあまりエスケープ処理の関数が用意されていなかったりします。それに比べてPHPはエスケープ処理の関数が非常に豊富です。これだけ見ても、PHPはなんてセキュアなんだ! と早とちりする人がいるかもしれませんが、しかし、他言語でエスケープ処理関数があまりないのはちゃんと理由があると思うのです。 本稿では、PHPのエスケープ処理用の関数を紹介しながら、その利用目的と、その関数を使わないで済ませる方法を説明します。 SQL用

[ockeghem]

1年ぶりの日記。PHPのエスケープ関数の概要と、それらを「使わない」セキュアな開発方法について

[kobito19]

例えば、(エスケープ関数を)避ける

[noname774300]

SQL文を組み立てるときはプリペアドステートメントじゃなくてエスケープを使えばいいんだよって言って私を吊るし上げたあの人は今どうしているかな。

[hdkINO33]

“エスケープすべき局面でエスケープを怠る、あるいはエスケープ方法が不適切だと脆弱性になります。そして、エスケープ処理はしばしば難しいのです。エスケープをなめてはいけない。”

[el-condor]

PHPを安全に使うのは私には難しそう。万が一使うことがあれば、フレームワークを積極的に利用するようにしたい。

[mohritaroh]

“今どきのモダンなアプリケーション・フレームワークを使う場合は、フレームワーク付属のO/Rマッパーを使うので、現実のアプリケーション開発でSQLのエスケープ関数を利用するケースは多くはない”

[lHMaUyzK]

やっぱりPHPを使うことは避けるべきと再確認した

[raimon49]

そもそもエスケープ関数の使い方を意識しなければならない状況を避ける、という話。たしかに。

[odz]

ある意味、高木浩光氏の「サニタイズ言うなキャンペーン」といっしょかな。http://takagi-hiromitsu.jp/diary/20051227.html#p02

[kijtra]

addslashes 使うのは、Alpine.js なんかでHTML属性値にJS書く時くらいかなw

[Futaro99]

昔はエスケープ漏れが無いかな血眼になって確認してたけど、そういえば最近これらの関数使ってないね

[tohokuaiki]

もう、面倒だからフレームワークに任せた

[fa11enprince]

PHP詳しくないので一瞬どういうこと？と思って本文読んだらすごい納得しました。

[PrivateIntMain]

もっといい機構があるならそっち使おうね、そんな便利なものが無い時はエスケープしないとまずいね、という話

[punychan]

タイトルから予測した結論が合ってた。よかった。

[tsutsumi154]

プレースホルダ使いましょうって話だね