セキュリティ プログラミング ソフトウェア 2026.05.20 12 エスケープとは?HTML / SQL / シェル / JS — 出力先ごとの作法 エスケープは 「出力先の文法に合わせて、特別な意味を持つ文字を無効化する処理」 です。HTML / SQL / シェル / JS / JSON / URL でルールが違うため、「htmlspecialchars すれば全部安全」 のような誤解が事故を生みます。出力先ごとの正しい作法と、サニタイズとの違い、テンプレートエンジン任せにする境界線を実務目線で整理します。 # セキュリティ # プログラミング # SQLインジェクション
セキュリティ プログラミング ソフトウェア 2026.05.20 16 サニタイズとは?エスケープ・バリデーションとの違いと実務での使い分け サニタイズは 「入力や出力から危険な要素を取り除いて無害化する処理」 ですが、エスケープやバリデーションと混同されがちです。XSS / SQL インジェクション / コマンドインジェクション / Prompt Injection といった代表的な攻撃に対し、「どこで何をやるか」 を間違えると簡単に事故ります。3者の違いと、実務でどう向き合うかを整理します。 # セキュリティ # SQLインジェクション # XSS
