連想配列のキーも値もまとめてhtmlspecialchars()でサニタイズする関数の作成解説

2017/06/06 2017/06/16

連想配列のキーも値もまとめてhtmlspecialchars()でサニタイズ

PHPの配列・連想配列のキーと値を一括してサニタイズする関数

　
PHPの配列の値に対して一括で htmlspecialchars()関数を実行し、値のサニタイズ（無害化、無毒化）を行う方法を解説します。
また、配列の値だけではなく、連想配列のキーに対してもサニタイズ（無害化、無毒化）を行っています。
　
　

PHPの配列・連想配列のキーと値を一括してサニタイズする関数のサンプルソースコード

// 連想配列をサニタイズする関数
function mysanitize ( $input ) {
  $_input = array ();
  foreach ( $input as $key => $val ) {
    if ( is_array ( $val ) ){
      $key = htmlspecialchars ( $key );
      $_input[$key] = mysanitize ( $val );
    } else {
      $key = htmlspecialchars ( $key );
      $_input[$key] = htmlspecialchars ( $val );
    }
  }
  return $_input;
}

// 入力される連想配列
$array = array ( "aaa" => "aaa", "bbb" => "<a href=bbb>bbb</a>", '<a href="#ccc">ccc</a>' => '<a href="#ccc">ccc</a>' );

$array_h = mysanitize ( $array );

// サニタイズした結果を表示
print_r ( $array_h );

// 連想配列をサニタイズする関数

function mysanitize ( $input ) {

$_input = array ();

foreach ( $input as $key => $val ) {

if ( is_array ( $val ) ){

$key = htmlspecialchars ( $key );

$_input[$key] = mysanitize ( $val );

} else {

$key = htmlspecialchars ( $key );

$_input[$key] = htmlspecialchars ( $val );

}

return $_input;

}

// 入力される連想配列

$array = array ( "aaa" => "aaa", "bbb" => "<a href=bbb>bbb</a>", '<a href="#ccc">ccc</a>' => '<a href="#ccc">ccc</a>' );

$array_h = mysanitize ( $array );

// サニタイズした結果を表示

print_r ( $array_h );

PHPの配列・連想配列のキーと値を一括してサニタイズする関数の解説

　
配列（連想配列）を引数に関数を実行すると、配列のキーと、値に対して一括して htmlspecialchars()関数を実行し、サニタイズ（無害化、無毒化）を行った結果を返す関数です。
　
クロスサイトスクリプティング（XSS）の対策のために htmlspecialchars()関数でサニタイズ（無害化、無毒化）を行いますが、この関数では、配列（連想配列）に対しても一括して処理を実行することができます。
　
　
見てもらえばわかると思いますが、foreach文でグルグル回しながら、入力値が配列であれば、改めて「mysanitize()」関数を呼び出し、さらに foreach文を実行して階層を深堀していく、という処理になっています。
　
配列でなければ「htmlspecialchars()」関数でサニタイズを実行します。
また、連想配列のキーもサニタイズを実行しています。
　
　

連想配列のキーも値もまとめてサニタイズする処理を作った経緯

　
この記事を書くきっかけになったのは、下記のツールを作成したことでした。
　
JSONの値のデコードツール
 XMLを配列に変換するツール
　
そして、そのツールの解説記事として下記の記事を書きました。
JSON形式の値を配列形式に変換・PHPでは json_decode()、json_encode()
XML形式の値を配列形式に変換・PHPでは simplexml_load_string()
SMTP Mailerでスパム判定回避。WP Mail SMTPで発生する送信エラーも対応
　
　
作成したツールは、入力された JSON形式のデータ、XML形式のデータを配列に変換するという単純なツールなのですが、単純なツールだからと言ってもセキュリティホールを放置するわけにはいかないわけですので、サニタイズの対応を行うことにしました。
　
ですが、簡易的なツールですので、「json_decode()」関数、「simplexml_load_string()」関数で生成した配列を、そのまま「print_r()」で出力しているだけのツールでした。
　
そのため、「json_decode()」関数、「simplexml_load_string()」関数で生成した配列を何とかまとめてサニタイズを行う方法を実装しないと、JSON形式、XML形式の変換ツールなのにサニタイズの処理の方が大きくなってしまう、と思ったわけです。
　
そして出来上がったのが、このサニタイズの関数です。
　
　
まぁ、結果的にはサニタイズ処理の方が大きな処理ですし、実装にははるかに悩みましたが．．．
　
　

array_map()を利用してサニタイズする方法

　
最初は、下記のようなサニタイズの処理を書いていました。
ですが、これだと配列の値のサニタイズは問題なくできるのですが、連想配列の場合は、キーに対しては全く無防備だということが確認できました。
　

function mysanitize ( $string ) {
  if ( is_array ( $string ) ) {
    return array_map ( "mysanitize", $string );
  } else {
    return htmlspecialchars ( $string, ENT_QUOTES );
  }
}

$array = array ( "aaa" => "aaa", "bbb" => "<a href=bbb>bbb</a>", '<a href="#ccc">ccc</a>' => '<a href="#ccc">ccc</a>' );
$array_h = array_map ( 'mysanitize', $array );

print_r ( $array_h );

function mysanitize ( $string ) {

if ( is_array ( $string ) ) {

return array_map ( "mysanitize", $string );

} else {

return htmlspecialchars ( $string, ENT_QUOTES );

}

$array = array ( "aaa" => "aaa", "bbb" => "<a href=bbb>bbb</a>", '<a href="#ccc">ccc</a>' => '<a href="#ccc">ccc</a>' );

$array_h = array_map ( 'mysanitize', $array );

print_r ( $array_h );

　
　
そのため、下記の様に修正をしてみました。
　

function mysanitize ( $key, $value ) {

  if ( is_array ( $value ) ) {
    return array_map ( "mysanitize", array_keys ( $value ), array_values ( $value ) );
  } else {
    $output[htmlspecialchars ( $key, ENT_QUOTES )] = htmlspecialchars ( $value, ENT_QUOTES );
    return $output;
  }
}

$array = array ( "aaa" => "aaa", "bbb" => "<a href=bbb>bbb</a>", '<a href="#ccc">ccc</a>' => '<a href="#ccc">ccc</a>' );

$array_h = array_map ( 'mysanitize', array_keys($array), array_values($array) );

print_r ( $array_h );

function mysanitize ( $key, $value ) {

if ( is_array ( $value ) ) {

return array_map ( "mysanitize", array_keys ( $value ), array_values ( $value ) );

} else {

$output[htmlspecialchars ( $key, ENT_QUOTES )] = htmlspecialchars ( $value, ENT_QUOTES );

return $output;

}

$array = array ( "aaa" => "aaa", "bbb" => "<a href=bbb>bbb</a>", '<a href="#ccc">ccc</a>' => '<a href="#ccc">ccc</a>' );

$array_h = array_map ( 'mysanitize', array_keys($array), array_values($array) );

print_r ( $array_h );

　
　
この方法でも一応、連想配列のキーもサニタイズできてはいますが、結果が想定しているものとは違う状態になりまして、実用には耐えうることができないと判断するに至りました。
「array_map()」関数は「指定した配列の要素にコールバック関数を適用する」関数ですので、連想配列のキーに対する処理は想定していないからであろう、と思います。
　
もう少しどうにかすれば．．．という感じもしましたが、下記のサイトに『「array_map()」関数を使うより、foreach文を使おう！』と書いてありましたので、上記の処理はあきらめて、記事の最初に載せた foreach文で実行する方法を採用することにしました。
　http://qiita.com/tadsan/items/bfd1acb7c35a9a6fe452
　
他にこんな簡単な方法があるよ！というのがあると教えていただけると幸いです。

- PHP・Smarty・ECCUBE

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです！

Message コメントをキャンセル

※入力いただいたコメントは管理者の承認後に掲載されます。

: PHPで配列の値をダブルクオーテーションで囲んでimplodeでカンマ区切りにする方法

PHPで配列の値を、preg_replace関数でクォーテーションで囲み、implode関数で「,（カンマ）」で区切ってテキスト化する方法。この方法であれば配列が空でも分岐の処理は必要なし！

: Smartyの Syntax Errorの原因はスペースかも

Smartyのなかなか原因がつかめない Syntax Errorの原因はスペースかもしれません。

: SEO対策用タイトル、ディスクリプションの文字数カウントツール

SEO対策に使える文字数カウントツールで文字数の条件の説明も行っています。

: XML形式の値を配列形式に変換・PHPでは simplexml_load_string()

XMLとは「Extensible Markup Language」の略でテキストベースのデータフォーマット。XMLをPHPで配列に変換するWebツールの紹介とその処理「simplexml_load_string()」関数についての解説。

: ECCUBEを開発環境から本番ドメインに変更でエラーが・パス変更について

レンタルサーバでサーバ会社から割り当てられたURLで開発し、本番公開時にドメインを当てたらエラーが！そんな場合の対処方法の解説。対処方法は簡単ですが管理画面からは対応不可。

: ECCUBEでカード決済NGの受注情報をマイページ購入履歴に表示しない方法解説

ECCUBEでカード決済に失敗しても購入履歴一覧に注文情報（受注情報）が表示される問題への対処方法を解説。受注情報レコードの作成の流れとステイタスについても解説。

: QRコード作成ライブラリ「cakePHP-QR-Code-Helper」をPHPで使うカスタマイズ

CakePHP2用のQRコード作成ライブラリ「cakePHP-QR-Code-Helper」をプレーンのPHPでも使うためのカスタマイズ方法を解説。1ファイルを設置するだけでQRコードが作れるため使い勝手がいい。

: ECCUBEの問い合わせフォームに任意の値を引数として渡す方法

ECCUBEのお問い合わせフォームに値を固有の情報を送りそれに基づいて処理をする方法を解説。ボタンの設置、受け取り側のテンプレート、プログラムのサンプルソースを提供。

: PHP画面が真っ白 header(“Location: $url”);

PHPの開発で header(“Location: $url”);を使うと画面が真っ白になる不具合が出る場合もあります。

: include、requireのパス指定をdirname(__FILE__)、__DIR__と書く理由

include、requireのパスの指定を dirname(__FILE__)、__DIR__で記述する理由に付いて解説。相対パス、絶対パスを直書き、パスを書かない場合は何が問題かを説明。