takuro hishikawa

Re: すべての出力部分でh()関数を使用しても大丈夫ですか？

全ての場合で h() 関数を使用する姿勢、大変素晴らしいと思います。サイト名は管理者しか変更できないので h() を使用しないからと言ってすぐに外部からの攻撃に使えるわけではありませんが、そのような判断をせずとも、ヘルプのサンプルで書かれてなくても、h() で常にエスケープすることがセキュリティ的には望ましいでしょう。

テンプレートで h() 関数を使用する限り、問題は起こりません。データベースに保存する際に無害化する用途で使うのはNGですが、おそらくそれはされていないでしょう

翻訳関数と組み合わせる場合は、h(t($hoge)) で合っています。