サニタイジング

<html>
<head>
<meta http-equiv="content-type" content="text/html;CHARSET=UTF-8" />
<?php
$kakushi = htmlspecialchars($_GET['password']);
echo "パスワードは「1111」です。";
?>
これはサニタイジングできているのでしょうか？htmlspecialchars()使用です
またhtmlのほｙでサニタイジング可能でしょうか？

ベストアンサー shimix 回答No.1

>これはサニタイジングできているのでしょうか？

何のためのサニタイジングでしょうか？

$kakushiに関しては「html（の一部）としてブラウザに返しても問題ない」状態にはなっています。でも普通はブラウザに返す直前にhtmlspecialchars()します（二重に実行するとダメなタイプのエスケープなので「あらかじめやっておく」ことはしない）。

また、$_GETや$_POSTを受け取るスクリプトでは、最初にチェックした方がいいです。htmlを途中まで返してからエラーメッセージを出力というのも困りますよね。

<?php
$kakushi = isset($_GET['password']) ? trim($_GET['password']) : '';
if ($kakushi === '') { エラー処理 }
?>
<html>
<head>
～～