filter_xss（）およびcheck_plain（）をいつどのように使用しますか？

views-view-fields--magazine--magazine.tpl.php私のウェブサイトには、このようなテンプレートファイルがたくさんあります。セキュリティを向上させるために、filter_xss（）およびcheck_plain（）をどのように、いつ使用する必要がありますか？例えばこれはコードです：

<div>
    <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div>
    <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div>
    <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div>
</div>
<div class="separator article-view-separator"></div>

それらの関数をどのように適用できますか？

まず、これらについてDrupal APIで確認します。

• filter_xss
• check_plain

したがってcheck_plain()、HTMLで特別な意味を持つ特殊文字（<およびなど&）をプレーンテキストエンティティ（つまり<、&それぞれ）にエンコードし、文字列が（HTMLとして解釈されずに）レンダリングされるようにします。 HTMLマークアップ。この関数はfilter_xss()、HTML文字列をフィルタリングして、クロスサイトスクリプティング（XSS）の脆弱性を防ぎます。それは4つのことをします：

• ブラウザをだますことができる文字や構造を削除する
• すべてのHTMLエンティティが整形式であることを確認する
• すべてのHTMLタグと属性が整形式であることを確認する
• HTMLタグに、許可されていないプロトコル（javascript：など）のURLが含まれていないことを確認します。

両方の機能は、ユーザーからのデータを無害化して、データがサイトに表示される前にユーザーインジェクションが無効化されるようにするために使用されます。

両方に同じ文字列を渡すことはありません。

使用する場合check_plain()、関数に渡される文字列は（HTMLではなく）プレーンテキストとして使用されることになっています。続いてfilter_xss()以来、必要とされていないcheck_plain()常に文字列のプレーンテキストを行います。

を使用する場合filter_xss()、関数に渡される文字列はHTMLであることが想定されており、check_plain()混乱を招きます。

例として使用するテンプレートを見ると、渡された3つのフィールドすべてprint()が、既にサニタイズされているコンテンツから取得されているように見え、サニタイジングは不要です。

ただし、「Filtered HTML」や「Plain」などの「安全な」テキストフィルターを通過せずにユーザー入力を収集する独自のモジュールを作成する場合は、衛生目的でこれらの関数を使用する必要があります。