echo("
クエリの検索結果:")
$_GET['query'].".
?>
このコードの主な問題は、ユーザーが送信したデータを Web ページに直接表示するため、XSS 脆弱性が生じることです。実はこの穴を埋める方法はたくさんあります。では、どのようなコードが必要なのでしょうか?
echo("
クエリの検索結果:")
htmlspecialchars($_GET['query'])。 p>";
?>
if(isset($_GET['query']))
echo'
クエリの検索結果:',
htmlspecialchars($ _GET['query'],ENT_QUOTES).'.
'
?>
* ENT_QUOTES フラグを htmlspecialchars 関数に渡して、一重引用符もエスケープされるようにします。これは最も重要なことではありませんが、良い習慣でもあります。