エス技研

WordPress、CakePHP、PHP、baserCMSなどの Web系システムを中心に情報を提供します!


連想配列のキーも値もまとめてhtmlspecialchars()でサニタイズする関数の作成解説

      2017/06/16

連想配列のキーも値もまとめてhtmlspecialchars()でサニタイズ

 

PHPの配列・連想配列のキーと値を一括してサニタイズする関数

 
PHPの配列の値に対して一括で htmlspecialchars()関数を実行し、値のサニタイズ(無害化、無毒化)を行う方法を解説します。
また、配列の値だけではなく、連想配列のキーに対してもサニタイズ(無害化、無毒化)を行っています。
 
 

PHPの配列・連想配列のキーと値を一括してサニタイズする関数のサンプルソースコード

 

 
 

PHPの配列・連想配列のキーと値を一括してサニタイズする関数の解説

 
配列(連想配列)を引数に関数を実行すると、配列のキーと、値に対して一括して htmlspecialchars()関数を実行し、サニタイズ(無害化、無毒化)を行った結果を返す関数です。
 
クロスサイトスクリプティング(XSS)の対策のために htmlspecialchars()関数でサニタイズ(無害化、無毒化)を行いますが、この関数では、配列(連想配列)に対しても一括して処理を実行することができます。
 
 
見てもらえばわかると思いますが、foreach文でグルグル回しながら、入力値が配列であれば、改めて「mysanitize()」関数を呼び出し、さらに foreach文を実行して階層を深堀していく、という処理になっています。
 
配列でなければ「htmlspecialchars()」関数でサニタイズを実行します。
また、連想配列のキーもサニタイズを実行しています。
 
 

連想配列のキーも値もまとめてサニタイズする処理を作った経緯

 
この記事を書くきっかけになったのは、下記のツールを作成したことでした。
 
JSONの値のデコードツール
XMLを配列に変換するツール
 
そして、そのツールの解説記事として下記の記事を書きました。
JSON形式の値を配列形式に変換・PHPでは json_decode()、json_encode()
XML形式の値を配列形式に変換・PHPでは simplexml_load_string()
SMTP Mailerでスパム判定回避。WP Mail SMTPで発生する送信エラーも対応
 
 
作成したツールは、入力された JSON形式のデータ、XML形式のデータを配列に変換するという単純なツールなのですが、単純なツールだからと言ってもセキュリティホールを放置するわけにはいかないわけですので、サニタイズの対応を行うことにしました。
 
ですが、簡易的なツールですので、「json_decode()」関数、「simplexml_load_string()」関数で生成した配列を、そのまま「print_r()」で出力しているだけのツールでした。
 
そのため、「json_decode()」関数、「simplexml_load_string()」関数で生成した配列を何とかまとめてサニタイズを行う方法を実装しないと、JSON形式、XML形式の変換ツールなのにサニタイズの処理の方が大きくなってしまう、と思ったわけです。
 
そして出来上がったのが、このサニタイズの関数です。
 
 
まぁ、結果的にはサニタイズ処理の方が大きな処理ですし、実装にははるかに悩みましたが...
 
 

array_map()を利用してサニタイズする方法

 
最初は、下記のようなサニタイズの処理を書いていました。
ですが、これだと配列の値のサニタイズは問題なくできるのですが、連想配列の場合は、キーに対しては全く無防備だということが確認できました。
 

 
 
そのため、下記の様に修正をしてみました。
 

 
 
この方法でも一応、連想配列のキーもサニタイズできてはいますが、結果が想定しているものとは違う状態になりまして、実用には耐えうることができないと判断するに至りました。
「array_map()」関数は「指定した配列の要素にコールバック関数を適用する」関数ですので、連想配列のキーに対する処理は想定していないからであろう、と思います。
 
もう少しどうにかすれば...という感じもしましたが、下記のサイトに『「array_map()」関数を使うより、foreach文を使おう!』と書いてありましたので、上記の処理はあきらめて、記事の最初に載せた foreach文で実行する方法を採用することにしました。
 http://qiita.com/tadsan/items/bfd1acb7c35a9a6fe452
 
他にこんな簡単な方法があるよ!というのがあると教えていただけると幸いです。

 - PHP・Smarty・ECCUBE

GoogleAdwords

GoogleAdwords

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

下記の空欄を埋めてください。 * Time limit is exhausted. Please reload CAPTCHA.

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

※入力いただいたコメントは管理者の承認後に掲載されます。

  関連記事

乱数発生器(パスワード生成サービス)がバージョンアップで高速化!
乱数発生器(パスワード生成サービス)がバージョンアップで高速化!

乱数やパスワードを生成する乱数発生器を高速化!重複しない10桁、20桁の文字列を10万件、20万件と生成することも可能!イベントのキャンペーンのシリアルコードなどにも利用可能!

ECCUBE mtb_constants initパラメータ設定の項目を追加する方法

ECCUBEのパラメータ設定で設定できる項目を追加する方法を説明します。

リダイレクトループが原因で「ERR_TOO_MANY_REDIRECTS」「このページを表示できません」が出たときの対策12事例+α

リダイレクトループ、自動転送設定ループの原因の解説とその対応方法を含め事例 12例を挙げて説明。

PHPのcURLでAPIやWebサイトへのアクセス方法。file_get_contentsとの比較
PHPのcURLでAPIやWebサイトへのアクセス方法。file_get_contentsとの比較

PHPからWebサイトにアクセスしてHTMLを取得、APIにアクセスして情報を取得する場合は、cURLがオススメ。file_get_contentsでも可能だがエラー制御に難がありトラブルのもとになる。

include、requireのパス指定をdirname(__FILE__)、__DIR__と書く理由

include、requireのパスの指定を dirname(__FILE__)、__DIR__で記述する理由に付いて解説。相対パス、絶対パスを直書き、パスを書かない場合は何が問題かを説明。

QRコード作成ライブラリ「cakePHP-QR-Code-Helper」をPHPで使うカスタマイズ
QRコード作成ライブラリ「cakePHP-QR-Code-Helper」をPHPで使うカスタマイズ

CakePHP2用のQRコード作成ライブラリ「cakePHP-QR-Code-Helper」をプレーンのPHPでも使うためのカスタマイズ方法を解説。1ファイルを設置するだけでQRコードが作れるため使い勝手がいい。

Phpmailerでスパム回避!Gmail等のSMTPを経由するPHPのメールフォーム解説

お問い合わせ等のメールフォームから送ったメールがスパム扱いされる!その対策としてライブラリ「Phpmailer」を使う方法を解説。関数化していますのでコピペでOK。

ファイル変更だけ!ECCUBEの本番から開発環境をコピーする手順を解説

ECCUBEを本番から開発環境をコピーする際の手順を解説。PGMメンテに必要な開発環境を構築する手順を解説。ECCUBEの仕組みは簡単なので作業は5分ほど。

ECCUBEでアップロードできない。upload_max_filesizeを設定する場所

テンプレートをアップロードする際に発生するエラー「テンプレートファイルがアップロードされていません」の対処方法。これはファイル容量の制限に引っかかっています。

PHP range関数を使って階乗と重複組み合わせを計算

PHPの range関数を使って階乗と重複組み合わせを計算し、それを元に乱数発生器を作成しました。