HTML&CSS

【サンプルコード付き】htmlspecialcharsとは?初心者にも分かりやすい安全なHTML表示方法

htmlspecialcharsとはを説明するタイトル

Webアプリケーション開発で避けて通れないセキュリティ対策。
その中でも基本中の基本と言えるPHPのhtmlspecialchars関数について、具体例と共に詳しく解説します。

1. htmlspecialcharsとは?

htmlspecialcharsは、PHPに組み込まれている関数で、HTMLの特殊文字をエスケープするために使います。
その目的は、主に以下の通りです:

  • HTMLの誤動作を防ぐ
    ユーザーが入力したHTMLタグが誤ってページの一部として解釈されるのを防ぎます。

  • XSS(クロスサイトスクリプティング)攻撃の防止
    悪意のあるスクリプトが埋め込まれることによるセキュリティ脅威を減らします。

例えば、<>といった文字はHTMLタグとして認識されますが、htmlspecialcharsを使えば以下のように変換されます:

変換前変換後
<script>&lt;script&gt;
" (ダブルクォート)&quot;
' (シングルクォート)&#039;
&&amp;

2. 基本的な使い方

PHPで実際にhtmlspecialcharsを使う例を見てみましょう。

サンプルコード:ユーザー入力の安全な表示

<?php
// ユーザー入力の例(悪意のあるデータ)
$user_input = '<script>alert("XSS攻撃!");</script>';

// htmlspecialcharsで安全に変換
$safe_output = htmlspecialchars($user_input);

// 結果の出力
echo "安全な出力: " . $safe_output;

// 結果: 安全な出力: <script>alert("XSS攻撃!");</script>
?>

解説

上記の例では、<script>タグがエスケープされているため、ブラウザで実行されることはありません。

3. 実際の利用シーン

1. フォームデータの安全な出力

フォームで入力されたデータをそのままHTMLに表示する場合、htmlspecialcharsを使うことで安全性を保てます。

サンプルコード:フォームデータの処理

<?php
if ($_SERVER["REQUEST_METHOD"] === "POST") {
    $name = htmlspecialchars($_POST["name"]);
    echo "こんにちは、" . $name . "さん!";
}
?>
<form method="POST">
    <label for="name">お名前:</label>
    <input type="text" id="name" name="name">
    <button type="submit">送信</button>
</form>
実行例:
  1. 入力値:<b>山田</b>
  2. 出力結果:こんにちは、&lt;b&gt;山田&lt;/b&gt;さん!
    タグは無害化され、画面上でそのまま文字として表示されます。

ためしにhtmlspecialcharsを使用せずに実行してみるとどうなるでしょうか?

<?php
if ($_SERVER["REQUEST_METHOD"] === "POST") {

    // htmlspecialcharsがないと、処理が実行されてしまう。
    $name = $_POST["name"];
    echo "こんにちは、" . $name . "さん!";
}
?>

下記スクリプトをフォームに入力して送信してみましょう。

<script>alert("悪意のあるスクリプト");</script>

送信ボタンを押した途端、入力したスクリプトが実行され、アラートが表示されてしまいました。

htmlspecialcharsを使用せずに実行した場合

次に、下記の<a>タグを入力し、送信を押すとどうなるでしょうか?

<a href="test">リンク</a>

勝手に他ページへのリンクを付けてしまうことができました。

htmlspecialcharsを使用せずにタグを実行した場合

このように「htmlspecialchars」を使用して、エスケープ処理をしない場合、悪意のあるscriptやタグ構成を勝手に弄らてしまいます。

ワンコ
ワンコ

4. htmlspecialcharsの設定オプション

htmlspecialcharsは、引数を追加することで動作をカスタマイズできます。

主な引数

  1. 文字列(必須):エスケープする対象文字列。
  2. フラグ(任意):動作を指定するオプション。例:ENT_QUOTES(デフォルトでシングルクォートもエスケープ)。
  3. エンコーディング(任意):文字エンコーディングを指定。例:UTF-8

カスタマイズ例

<?php
$text = "It's \"awesome\" & <cool>!";
echo htmlspecialchars($text, ENT_QUOTES, 'UTF-8');
// 出力: It's "awesome" & <cool>!
?>

5. 関連関数と注意点

関連関数

  • htmlentitieshtmlspecialcharsと似ていますが、すべてのHTMLエンティティを変換します。
  • strip_tags:HTMLタグをすべて削除します(無害化ではなく、完全に消す)。

注意点

  • HTMLタグを意図的に許可したい場合は、htmlspecialcharsを使わず必要に応じてstrip_tagsやカスタムロジックを組み合わせましょう。

まとめ

htmlspecialcharsは、Webアプリケーション開発で安全性を確保するための基本的なツールです。
特に、ユーザーが自由に入力するフォームやコメント欄などで欠かせない存在です。

しっかりと使い方をマスターして、安全で信頼性の高いWebアプリを作りましょう!

-HTML&CSS
-,