PHP:htmlspecialchars

2012年3月3日土曜日 - 投稿者 さい 時刻: 0:30
PHP5のhtmlspecialcharsにはENT_QUOTESを付けます。
htmlspecialchars でXSS対策をしていたと思ったら、デフォルトでは シングルクオートをエスケープしてくれないのです。(マニュアル参照)

htmlspecialchars($str, ENT_QUOTES);

ENT_QUOTES を指定することで、シングルクオートも ' にエスケープ出来ます。