フォームから送信した文字列(改行含む)をファイルに1行1データで書き込む
書き込んだ文字列を読み込んでhtmlに出力する
このときエスケープはいつ行えばいいんですか?
出力するときにエスケープしろと言われるのをみますが書き込むときに改行を<br>に変換しないと1行1データにならないので書きこむときにエスケープと変換作業を行います
そうすると自然に出力前は何も出来ない。エスケープしたら<br>が無効されるのです
出力するときにエスケープしろというのはたぶんデータベースを利用したときの事ですよね
ファイルベースのときは書き込むときにエスケープして出力前は何もしなくても大丈夫ですよね?
もしXSSになるとしたら何故なるのかその理由の教えてください