目的
- PHPのエスケープシーケンスを用いた改行をビューで表示する方法をまとめる
実施環境
- ハードウェア環境
| 項目 | 情報 |
|---|---|
| OS | macOS Catalina(10.15.5) |
| ハードウェア | MacBook Pro (13-inch, 2020, Four Thunderbolt 3 ports) |
| プロセッサ | 2 GHz クアッドコアIntel Core i5 |
| メモリ | 32 GB 3733 MHz LPDDR4 |
| グラフィックス | Intel Iris Plus Graphics 1536 MB |
- ソフトウェア環境
| 項目 | 情報 | 備考 |
|---|---|---|
| PHP バージョン | 7.4.8 | Homebrewを用いてこちらの方法で導入→Mac HomebrewでPHPをインストールする |
| Laravel バージョン | 6.X | commposerを用いてこちらの方法で導入→Mac Laravelの環境構築を行う |
| MySQLバージョン | 8.0.19 for osx10.13 on x86_64 | Homwbrewを用いてこちらの方法で導入→Mac HomebrewでMySQLをインストールする |
前提条件
- 実施環境に近い開発環境が用意できていること。
- ローカルサーバを起動する事ができるLaravel6のアプリケーションが存在していること。
前提情報
-
PHPのエスケープシーケンスを用いて改行を含んだ文字列をビューで改行して表示したい。
-
ブラウザでは下記のように表示してほしい。
A <br> B <br> C
概要
- ルーティング情報の記載
- コントローラファイルの作成と記載
- ビューファイルの作成と記載
- 確認
詳細
-
ルーティング情報の記載
-
Laravelアプリ名ディレクトリで下記コマンドを実行してルーティングファイルを開く。
$ vi routes/web.php -
下記のルーティング情報を追記する。
Laravelアプリ名ディレクトリ/routes/web.phpRoute::get('/index', 'TestController@index')->name('index');
-
-
コントローラファイルの作成と記載
-
Laravelアプリ名ディレクトリで下記コマンドを実行してコントローラファイルを作成する。
$ php artisan make:controller TestController -
Laravelアプリ名ディレクトリで下記コマンドを実行してコントローラファイルを開く。
$ vi app/Http/Controllers/TestController.php -
下記のアクションをコントローラファイルに記載する。
Laravelアプリ名ディレクトリ/app/Http/Controllers/TestController.phppublic function index() { /* シングルクオートで文字列を囲むとエスケープシーケンスが文字列扱いされるので注意 */ $str = "A\nB\nC"; return view('tests.index', ['str' => $str]); } -
記載後のコントローラファイルの全体の内容を下記に記載する。
Laravelアプリ名ディレクトリ/app/Http/Controllers/TestController.php<?php namespace App\Http\Controllers; use Illuminate\Http\Request; class TestController extends Controller { // 下記を追記する public function index() { /* シングルクオートで文字列を囲むとエスケープシーケンスが文字列扱いされるので注意 */ $str = "A\nB\nC"; return view('tests.index', ['str' => $str]); } // 上記までを追記する }
-
-
ビューファイルの作成と記載
-
Laravelアプリ名ディレクトリで下記コマンドを実行してビューファイルを格納するディレクトリを作成する。
$ mkdir -p resources/views/tests -
Laravelアプリ名ディレクトリで下記コマンドを実行してビューファイルを作成して開く。
$ vi resources/views/tests/index.blade.php -
下記の内容を記載する。
Laravelアプリ名ディレクトリ/resources/views/tests/index.blade.php<p>{!! nl2br(e($str)) !!}</p>
-
-
確認
-
Laravelアプリ名ディレクトリで下記コマンドを実行してローカルサーバを起動する。
$ php artisan serve -
下記にアクセスする。
-
下記のようにABCがそれぞれ改行されて表示されることを確認する。
-
検証
- 変数に入った文字列をビューファイルで表示する際、本来は
{{ }}でくくって表示するが今回は{!! !!}でくくっている。試しにビューファイルの記載を{{ }}にして$strだけを表示してみる。-
下記のようにビューファイルのソースを修正した。
Laravelアプリ名ディレクトリ/resources/views/tests/index.blade.php<p>{{$str}}</p> -
下記のように改行がなされずに表示されてしまう。
-
{!! nl2br(e($str)) !!}の簡単な解説
-
e($str)の説明- 変数$strに格納された文字列の中の「& (アンパサンド)」「" (ダブルクォート)」「' (シングルクォート)」「< (小なり)」「> (だいなり)」を別の文字に変換している。
- もし仮に$strにXSS攻撃を意図としたリンクなどが含まれていたときに悪意のあるリンクタグを表示されないようにエスケープする。
-
nl2br()の説明- PHPのエスケープシーケンス(
\nなど)からhtmlのタグ(<br>など)を作成する関数である。 - これは変数$strに格納されている
\nをhtmlの<br>に置き換えてくれている。(正確には\nの直前に<br>を追記してくれている。)
- PHPのエスケープシーケンス(
-
{!! !!}の説明- 通常の
{{ }}はXSS攻撃を予防するために特殊文字を勝手にエスケープしてしまう。- https://readouble.com/laravel/6.x/ja/blade.html#displaying-data「Tip!! Bladeの{{ }}記法はXSS攻撃を防ぐため、自動的にPHPのhtmlspecialchars関数を通されます。」
- これは関数
nl2br()て作成した<br>タグの例外ではなくエスケープされてしまう。- https://readouble.com/laravel/6.x/ja/blade.html#displaying-data「エスケープしないデータの表示 デフォルトでブレードの{{ }}文はXSS攻撃を防ぐために、PHPのhtmlspecialchars関数を自動的に通されます。しかしデータをエスケープしたくない場合は、以下の構文を使ってください。」
- 通常の
- まとめると「
{!! !!}を使用しないとnl2br()で作成した<br>がエスケープされてしまう。しかし{!! !!}はXSS攻撃される可能性がある。それを防ぐためにnl2br()にわたす変数$strには特殊文字が入っていたら困る。nl2br()にわたす前にe()でXSS攻撃と思しき特殊文字はエスケープして渡す」という感じ。
おまけ
- PHPのhtmlspecialchars関数について
-
{{ }}を用いたビューファイルの表示はPHPのhtmlspecialchars関数を通したものであるらしい。- https://readouble.com/laravel/6.x/ja/blade.html「Tip!! Bladeの{{ }}記法はXSS攻撃を防ぐため、自動的にPHPのhtmlspecialchars関数を通されます。」
-
PHPのhtmlspecialchars関数が何をしているのかを気になったので調べてみる。下記にPHPドキュメントのリンクを記載する。
-
当該関数を通すと下記の特殊文字列が変換される。
-
なので
{{ }}を通して表示する文字列は上記の変換が行われた上で表示が行われる。 -
htmlspecialchars関数を迂回して表示したいときは
{!! !!}を使用する。 -
Laravelで意図的にhtmlspecialchars関数で特殊文字列を変換したいときはヘルパ関数
e()を使用する。 -
脆弱性の観点からみて今回のような特殊ケースを覗いて
{!! !!}は多用しないほうが良いと思う。 -
特殊ケースで
{!! !!}を使用するとしてもLaravelならヘルパ関数e()を併用するなど攻撃に対する対策が必要であると考える。
-