2010-12-06 SymfonyのXSS対策をくぐり抜ける Symfonyはapp側の設定でXSSがデフォルトでされますが、 <?php echo strtr(nl2br($hoge),array("muha"=>"hoge"); ?> こんなコードをかくと、symfonyのXSS対策をくぐり抜けてしまうみたいです。 <?php echo strtr(nl2br(htmlspecialchars($hoge)),array("muha"=>"hoge"); ?> とりあえずhtmlspecialchars()でくくって解決。