【PHP8.x】JSON_HEX_APOS定数の使い方

JSON_HEX_APOS定数の使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年03月08日

基本的な使い方

JSON_HEX_APOS定数は、PHPのjson_encode()関数がJSON形式の文字列を生成する際に、特定のエスケープ処理を行うためのオプションを表す定数です。

この定数をjson_encode()関数の第2引数として指定すると、JSONデータに含まれるすべてのアポストロフィ（'）が、Unicodeエスケープシーケンスである\u0027という形式に自動的に変換されます。通常、アポストロフィはJSON文字列内でエスケープされませんが、この定数を使うことで意図的にエスケープさせることができます。

なぜこのようなエスケープが必要なのでしょうか。主な目的はセキュリティの強化です。ウェブアプリケーションにおいて、JSONデータをHTMLのスクリプトタグ内、例えばJavaScriptの変数に埋め込むような状況があります。このような場合、エスケープされていないアポストロフィが存在すると、悪意のあるユーザーが注入したコードによって、JavaScriptの文字列が途中で閉じられてしまい、予期せぬスクリプトが実行される「クロスサイトスクリプティング（XSS）」という脆弱性につながる可能性があります。

JSON_HEX_APOS定数を使用することで、アポストロフィが安全なUnicode形式に変換され、HTMLやJavaScriptのコンテキストでJSONデータを扱う際の潜在的なセキュリティリスクを軽減し、より堅牢なウェブアプリケーションを構築するのに役立ちます。JSONデータの安全な取り扱いを促進するための重要なオプションの一つです。

構文(syntax)


1<?php
2$data = ['text' => "It's a test string with an apostrophe."];
3echo json_encode($data, JSON_HEX_APOS);
4?>

引数(parameters)

引数なし

引数はありません

戻り値(return)

戻り値なし

戻り値はありません

サンプルコード

PHPでJSON_HEX_APOSを使いシングルクォートをエスケープする


1<?php
2
3/**
4 * JSON_HEX_APOS 定数の使用例を示します。
5 *
6 * この定数は json_encode() 関数のオプションとして使用され、
7 * JSON 出力内のシングルクォート (') を \u0027 としてエスケープします。
8 * これは、JSON 文字列を HTML や XML の属性値として埋め込む際などに、
9 * 予期せぬエラーを防ぐのに役立つ場合があります。
10 */
11function demonstrateJsonHexApos(): void
12{
13    // シングルクォートを含むサンプルデータ
14    $data = [
15        'name' => "O'Reilly",
16        'description' => 'It\'s a beautiful day.',
17        'comment' => 'This is a simple string.',
18    ];
19
20    echo "--- JSON_HEX_APOS オプションなしの場合 ---\n";
21    // JSON_HEX_APOS オプションなしでエンコード
22    // デフォルトではシングルクォートはエスケープされません。
23    $jsonWithoutHexApos = json_encode($data, JSON_PRETTY_PRINT);
24    echo $jsonWithoutHexApos . "\n\n";
25
26    echo "--- JSON_HEX_APOS オプションありの場合 ---\n";
27    // JSON_HEX_APOS オプションを付けてエンコード
28    // シングルクォートが \u0027 としてエスケープされます。
29    // JSON_PRETTY_PRINT は可読性を高めるためのオプションです。
30    $jsonWithHexApos = json_encode($data, JSON_HEX_APOS | JSON_PRETTY_PRINT);
31    echo $jsonWithHexApos . "\n";
32}
33
34// 関数を実行して、JSON_HEX_APOS の効果を確認します。
35demonstrateJsonHexApos();

PHP 8で利用できるJSON_HEX_APOSは、JSONデータをエンコードする際に使用する定数です。この定数自体に引数や戻り値はありませんが、json_encode()関数のオプションとして機能し、JSON出力内の特定の文字のエスケープ挙動を変更します。具体的には、JSON文字列内のシングルクォート（'）をUnicodeエスケープシーケンスである\u0027として表現するよう指定します。

サンプルコードでは、JSON_HEX_APOSオプションをjson_encode()関数に渡した場合と渡さない場合の違いを示しています。オプションなしでエンコードした場合、シングルクォートはデフォルトでそのまま出力されます。しかし、JSON_HEX_APOSオプションを付けてエンコードすると、文字列に含まれるすべてのシングルクォートが\u0027という形式に変換されて出力されることが確認できます。

この機能は、生成されたJSON文字列をHTMLやXMLドキュメントの属性値として埋め込む際に特に有用です。HTML属性値としてJSONを埋め込む際、JSON内のシングルクォートが原因で予期せぬ構文エラーやセキュリティ上の問題が発生する可能性があります。JSON_HEX_APOSを使用することで、このような問題を回避し、より堅牢で安全なデータの埋め込みが可能になります。

JSON_HEX_APOSは、json_encode()関数でシングルクォート（'）をユニコードエスケープ文字\u0027として出力するための定数です。このオプションを使用しない場合、デフォルトではシングルクォートはエスケープされません。

主にJSON文字列をHTMLやXMLの属性値として埋め込む際に、属性値の区切り文字と誤認されることを防ぎ、クロスサイトスクリプティング（XSS）などの潜在的なセキュリティリスクを低減するのに役立ちます。

ただし、常にこのエスケープが必要というわけではありません。使用する場面を理解し、過度なエスケープを避けるためにも、具体的な利用シナリオを考慮して適切に適用することが重要です。複数のオプションを同時に指定する際は、サンプルコードのように|（ビットOR演算子）を用いて組み合わせることを忘れないでください。