第11章 高度なプログラミング / 第5回 模擬試験

PHPのクロスサイトスクリプティング(XSS)対策に関する次の記述のうち、正しいものはどれか。

ユーザー入力をHTMLとして出力する前に`htmlspecialchars()`でエスケープすることが有効な対策である。 正解
XSS対策にはプリペアドステートメントを使用するのが最も有効である。
XSSはサーバー側のデータベースを直接破壊する攻撃であり、ブラウザには影響しない。
XSS対策は、Cookieの有効期限を短くするだけで十分である。
解説
XSS対策の基本は、ユーザー入力を含む文字列をHTMLとして出力する前に`htmlspecialchars()`等でエスケープすることです。プリペアドステートメントはSQLインジェクション対策です。(参照: 独習PHP 第4版 第11章 高度なプログラミング 11.2.1節 クロスサイトスクリプティング p.599〜602)