投稿フォームを作成している際、特に対策をしていない場合XSS攻撃を受けてしまう事を学んだ。
PHPではXSS攻撃の対策としてhtmlspecialchars関数が有効であるのでこの関数を使用してフォームを作成。
この関数を使用することによってフォームに入力された物がただの文字列として認識され、javascripなどを記入されても反応しない様になります。
<html lang="ja">
<body>
<h1>投稿フォーム</h1>
<form action="example.php" method="post">
<input type="text" name="comment"><br/>
<input type="submit" value="送信">
</form>
<?php
$comment = htmlspecialchars($_POST['comment'], ENT_QUOTES, 'UTF-8');
echo $comment;
?>
</body>
</html>
htmlspecialcharsは名前が長いので関数に入れてしまう事も考えたが、このコード自体は短いものであったので今回はそのまま記述。