「記号」に強いシステムを作る。その１～JavaScriptとシングルクォーテーション～

現在携わっているプロジェクトで開発中のシステムが
やたらと「記号」に対して脆弱である。
（一応リリースはしたけど・・・）

そこで、記号に対して強いシステムを作るポイントを少しずつまとめていく。

ちなみに
・ASP.NET(VB)
・Oracle 10g
が前提。

【ポイント１】
「プログラムによってJavaScriptを動的に生成する際、シングルクォーテーションや円記号の扱いに注意する。」

DBから取得したデータの値を含んだJavaScriptをHTML上に展開する際、シングルクォーテーションや円記号が含まれていると、JavaScriptの構文エラーとなり、正しく動作しなくなる。

極端な例であるが、DBから取得した値をダイアログに表示させるスクリプトを動的に生成したとする。
　例：alert('名称');

　
データが「MOS BURGER」の場合、
　alert('MOS BURGER');
となり、正しく動作する。

しかし、データが「McDonald's」の場合、
　alert('McDonald's');
となり、動作しない。

対策として、文字列を囲う文字をダブルクォーテーションに変更するという方法もあるが、
文字列にダブルクォーテーションが含まれていた場合、同じ問題が発生する。
そこで、「'」を「\'」に置換してから、展開するようにする。

ただし、円記号もJavaScript上では特殊文字であるので、「\」を「\\」に置換する必要がある。

参考：特殊な文字の入力(エスケープシーケンス)
 

■検証

テキストエディタに
<script>alert('McDonald's');</script>
と入力し、test1.htmlとして保存。

テキストエディタに
<script>alert('McDonald\'s');</script>
と入力し、test2.htmlとして保存。

test1は何も起きないが、test2の方はちゃんとアラートが表示される。

-------------------------------------------------------------------------

得意先検索ポップアップの一覧に「McDonald's」が表示されると、
チェックボックスにチェックを入れて選択ボタンを押しても
「選択されていません。」と出るのは、
シングルクォーテーションによってJavaScriptが壊れたからです。
（今のプログラム、作り悪すぎ・・・）

-------------------------------------------------------------------------


↓↓↓　システム屋なら読んでおいて損はないかも。