HTMLエスケープ処理とデーターベース

初歩的な事で申し訳ありませんがご教授下さい。
フォームから受け取った文字列をデータベースに格納し、必要に応じて出力するような処理でのHTMLエスケープについて質問です。
（前提条件として、HTMLタグは使用をさせない。フォームに入力する文字列には、<　や　>を使う必要性はほとんどないものとします）
HTMLエスケープ処理は、どのタイミングで行うのが普通でしょうか？
１．JavaScliptで特定文字　<　や　>　を入力させない。
２．サーバーサイドで特定文字　<　や　>　を入力させない。
３．DBに格納する前にエスケープして、エスケープ処理後の文字列をDBに格納する。
４．DBにはそのまま格納し、出力のさいにエスケープ処理を行う。
５．どこでもかまわない。
６．その他

今まで私はあまり意識する事なく（４）を選択していたのですが、最近他の人の作ったプログラムを見る機会が増えて、その違いにちょっと気になりました。

正解はないのかも知れませんが、一般的な方法と、そのメリット、デメリット等、教えて頂けると助かります。

No.3 ベストアンサー 回答者： racci 回答日時： 2007/04/25 16:02

HTMLタグを使用させないようなアプリケーションでは、４が正解です。

１ 簡単に回避できるので、意味がありません。

２ < や > を許容するケースでは通用しません。

３ DBのデータはHTMLに出力する用途以外にも使う事があります。例えばCSVファイルに落として、宛名出力するなどの用途です。DBのデータは「生の文字列」にしておくのが望ましいです。

HTMLエスケープはHTML生成時に行なう、SQLエスケープはSQL生成時に行なう、などが基本です。

この回答へのお礼

>３ DBのデータはHTMLに出力する用途以外にも使う事があります。例えばCSVファイルに落として、宛名出力するなどの用途です。DBのデータは「生の文字列」にしておくのが望ましいです。

確かにHTML出力以外に利用したい時には元の文字列に戻す事が困難ですね。

各ケースにおいて、具体的に説明していただいた事でとても参考になりました。
ありがとうございました。

お礼日時：2007/04/25 16:33

No.2 回答者： mizuno3 回答日時： 2007/04/24 20:00

私が教わった物は出力時にエスケープをすると言うものでした。

つまり４番ですね。

それが絶対に正しいとは思いませんが、現在のところはそれが基本なのではないかな？と思います。

もちろんSQLインジェクションなどを防がなくてはならないので、DB格納前にはSQL用エスケープ処理が必要になります。

この回答へのお礼

専門家の方の意見を聞けて、ひとまず安心しました。
エスケープのタイミングをどこで行うかによって、かなり内部ロジックが変わってくるので...
ひとまず基本的な方法をとっておけば、他の人がソースを修正するような場合、困らないと思うので！
私自身、まだPHP初心者なので、他の人のソースを読むとき苦労する場合があります。
なるべくコメントをいれて、一般的な方法でコーディングするように心がけようと思っていますが、今回の件がちょっと気にかかったもので、質問させて頂きました。
回答ありがとうございました。

お礼日時：2007/04/25 12:50

No.1 回答者： manoh 回答日時： 2007/04/24 18:47

５．は当然問題外として、１．２．は使用用途によると思います。

例えばタグ入力可能な掲示板やブログなどを作成するのであれば、入力制限を行っては本末転倒ですし。
この辺はポリシーの問題ですね。
ガチガチにセキュリティを意識して作るのであれば、１．２．を実装しても良いと思います。

３．４．ですが、自分は３．の段階で処理を行っています。
ここで処理しないとデータベースへのINSERTに失敗する可能性が非常に高いからです。

また一般的な方法としては、PEARのクラスを使用するのが一般的ではないかと思います。

この回答へのお礼

回答ありがとうございます。
>３．４．ですが、自分は３．の段階で処理を行っています。
>ここで処理しないとデータベースへのINSERTに失敗する可能性が非常に高いからです。
この件については、知りませんでした。
実際に私が見た他の人のプログラムでは、（３）の方法をとっている方がいました。
この件を考慮して、（３）の方法をとっていたのですね。
参考になりました。
ありがとうございました。

お礼日時：2007/04/25 12:38