MySQLデータベースに入力するときの質問です。

一般的にいう、SQLインジェクションとクロスサイトスクリプティング(XSS)を行えてしまう状態ですね この二つの問題は分けて考えなくては混乱するだけですので整理します HTMLのタグやJavaScriptが悪さをする瞬間というのは、ブラウザに出力するタイミングです ですからデータ入力時やデータベースに保存する場合には、HTMLやJavaScriptは何にも悪さはしません、単なる文字列としてデータベースに保存されますので、データベース保存時や選択時にHTMLタグやJavaScriptに対しては気にすることはありません。 しかし、入力欄にSQLインジェクションされるとデータ保存時や選択時に誤った処理をしてしまいますのでSQLインジェクションに対してはSQL文を生成する瞬間に対策をしなくてはなりません 入力欄 ↓ validate(文字数や、数値のみ入力させたい場合、半角英数のみの場合などの検査をする) ↓ DBにINSERT/UPDATE ＊SQL文を生成時にSQLインジェクション対策のエスケープをする ↓ DBからSELECT ＊SELECT文を生成する場合にもSQLインジェクション対策用のエスケープをする ↓ 取得されたデータを何かしら処理する ↓ HTMLとして出力する ＊この時にXSS用のエスケープをして出力をする ざっとこんな感じかな つまり XSSとSQLインジェクションとでは対策をする方法や場所が違うということです。 SQLインジェクションはSQL文を生成(SQL文として出力)するタイミングで、XSSはHTMLとしてブラウザに対して出力をするタイミングで ということになります さまざまなセキュリティ対策が必要ですが、どんな対策に対しても「入力は甘く、出力がギチギチに絞める」が鉄則だと私は思います。 入力されてくるデータは何が入ってくるのか分からないのでとりあえず受け取る。 出力するデータは、こちらの思うがままにギチギチに締め付けてやれば良い。 ということです。