Re: すべての出力部分でh()関数を使用しても大丈夫ですか?
2018年1月24日 at 14:21
全ての場合で h() 関数を使用する姿勢、大変素晴らしいと思います。サイト名は管理者しか変更できないので h() を使用しないからと言ってすぐに外部からの攻撃に使えるわけではありませんが、そのような判断をせずとも、ヘルプのサンプルで書かれてなくても、h() で常にエスケープすることがセキュリティ的には望ましいでしょう。
テンプレートで h() 関数を使用する限り、問題は起こりません。データベースに保存する際に無害化する用途で使うのはNGですが、おそらくそれはされていないでしょう
翻訳関数と組み合わせる場合は、h(t($hoge)) で合っています。
Your post has been saved and will be published after approval by the forum moderator.
jun
Re: すべての出力部分でh()関数を使用しても大丈夫ですか?
不要なケースでも適用してしまうと、何かしら悪い影響があるのではと考えておりました…安心いたしました。
早々にご回答いただきましてありがとうございました。