正しく使用された場合、htmlspecialcharsはすべてのXSSに対する保護に十分ですか？

htmlspecialchars()は、指定した制限付きでドキュメント作成時のHTMLインジェクションを防ぐのに十分です（つまり、タグコンテンツ/引用符で囲まれていない属性へのインジェクションはありません）。

ただし、XSSにつながる可能性のある他の種類の注入があります。

ドキュメントに<script>タグはありません。

この状態は、JS注射のすべてのケースをカバーするわけではありません。たとえば、イベントハンドラー属性がある場合があります（HTMLエスケープ内にJSエスケープが必要です）。

_<div onmouseover="alert('<?php echo htmlspecialchars($xss) ?>')"> // bad!
_

または、さらに悪いことに、javascript：リンク（JSエスケープがURL内でエスケープする必要があります-HTMLエスケープ内でエスケープする必要があります）：

_<a href="javascript:alert('<?php echo htmlspecialchars($xss) ?>')"> // bad!
_

とにかくこれらの構造を避けるのが通常は最善ですが、特にテンプレートを作成するときはそうです。 <?php echo htmlspecialchars(urlencode(json_encode($something))) ?>を書くのはかなり面倒です。

そして...インジェクションの問題はクライアント側でも発生する可能性があります（DOMXSS）。 htmlspecialchars()は、明示的なエスケープなしでinnerHTML（通常は貧弱なjQueryスクリプトでは.html()）にJavaScriptが書き込まれるのを防ぎません。

そして... XSSには、注射だけでなく、さまざまな原因があります。その他の一般的な原因は次のとおりです。

• 正常なURLスキームをチェックせずに、ユーザーがリンクを作成できるようにします（_javascript:_は最もよく知られている有害なスキームですが、他にもあります）

• ユーザーが直接またはライトマークアップスキーム（常に悪用可能なbbcodeなど）を介してマークアップを作成できるようにする

• ユーザーがファイルをアップロードできるようにします（さまざまな方法でHTMLまたはXMLとして再解釈できます）