WEB + PC

　CakePHP では htmlspecialchars() を h() と短縮できるのだが……、ちょっと気になることがあって、該当するソースを確認すると、下記のようになっていた。

cake/basics.php

    function h($text) {
        if (is_array($text)) {
            return array_map('h', $text);
        }
        return htmlspecialchars($text);
    }

　配列を渡すと、その値をすべて処理してくれるのは便利だけど、htmlspecialchars() はデフォルトのまま使っているから、シングルクォートは変換されない（ENT_COMPACT になる）。これはちょっと危険な気がする。といって、コア部の cake/basics.php を直しても、バージョンアップのたびに対処しなきゃいけないし、むしろ忘れてしまう可能性大。

　ではやはり h() は使わず htmlspecialchars($str, ENT_QUOTES, 'UTF-8') ときちんと書くのが一番安全かな。でもかなり長ったらしいから、毎回面倒だ。本当は app/ の中のどこか適当な場所に、改良した h() が定義できればいいんだろうけど、でもどこに置けばいいのかな？

　と調べていたら、app/config/bootstrap.php に書き込めばいいらしい。なるほど、このファイル、今後もいろいろ利用価値がありそう。覚えておこう。

    function hsc($text, $quoteStyle=ENT_QUOTES, $encoding='UTF-8') {
        if (is_array($text)) {
            return array_map('hsc', $text, $quoteStyle, $encoding);
        }
        return htmlspecialchars($text, $quoteStyle, $encoding);
    }