【PHP8.x】ENT_COMPAT定数の使い方

ENT_COMPAT定数は、PHPのhtmlspecialchars()やhtmlentities()といった関数において、HTMLの特殊文字をどのようにHTMLエンティティに変換するかを制御するフラグを表す定数です。

この定数は、主にウェブアプリケーションでユーザーからの入力内容などをHTMLとしてブラウザに出力する際に、クロスサイトスクリプティング（XSS）のようなセキュリティ上の脆弱性を防ぐために重要な役割を果たします。具体的には、文字列中のHTMLの特殊文字を、ブラウザで文字として表示される安全な形式（HTMLエンティティ）に変換します。

ENT_COMPATを指定した場合、アンパサンド (&)、小なり記号 (<)、大なり記号 (>) といった基本的なHTML特殊文字に加え、二重引用符 (") のみがHTMLエンティティ（例: " が "）に変換されます。これは、多くのウェブサイトでHTMLの属性値に二重引用符が使われることが多いため、既存のコードとの互換性を保ちながら、基本的なセキュリティ対策を講じる際に便利な設定です。

一方で、単一引用符 (') はこの定数では変換されません。そのため、HTML属性値が単一引用符で囲まれている場合など、より厳密なセキュリティ要件がある場合は、ENT_QUOTESなどの他の定数を使用するか、組み合わせて利用することが推奨されます。この定数は、PHPで安全なウェブアプリケーションを開発する上で理解しておくべき基本的な要素の一つです。

Copy
1htmlspecialchars('変換対象の文字列', ENT_COMPAT);

引数なし

引数はありません

int

ENT_COMPATは、文字列のクォートの扱い方を指定する定数であり、整数値が返されます。