WordPress開発者向けチートシート：エスケープ＆サニタイズ関数徹底マスター

WordPressサイトのセキュリティを確保する上で、開発者が必ず理解し実践しなければならないのが「データのエスケープ」と「データのサニタイズ」です。これらは、クロスサイトスクリプティング（XSS）やその他の脆弱性からサイトとユーザーを守るための基本的ながら非常に重要な手法です。ユーザーからの入力値やデータベースから取得した値を扱う際には、常に適切な処理を施す必要があります。

この記事では、WordPressが提供する主要なエスケープ関数とサニタイズ関数を網羅的に解説し、それぞれの役割、使い方、そして具体的な使用例をチートシート形式でまとめました。安全なWordPressサイトを構築するための必携知識です。

エスケープとサニタイズ：基本の「き」

まず、エスケープとサニタイズの基本的な違いを理解しましょう。

エスケープ (Escaping): 主にデータを出力する際に使用します。HTML、属性値、URL、JavaScriptなど、出力先のコンテキストに合わせて特殊文字を無害化し、意図しないコード実行（XSSなど）を防ぎます。「出口対策」と覚えてください。
サニタイズ (Sanitizing): 主に外部（ユーザー入力、外部APIなど）からデータを受け取り、データベースに保存したり、内部で処理したりする前に使用します。データから不要な文字や危険なコードを除去・無害化し、期待する形式に整えます。「入口対策」と覚えてください。

「入力（保存）時はサニタイズ、出力時はエスケープ」がWordPressセキュリティの鉄則です。

出力時の主要エスケープ関数一覧

データベースやユーザー入力などから取得したデータを出力する際に使用できる主要なエスケープ関数を分類しました。各関数の説明の冒頭には、そのセキュリティ上の重要度や利用頻度を星の5段階評価で示しています。星の数の目安は以下の通りです。
★★★★★：ほぼ全ての開発で頻繁に利用され、基本かつ非常に重要なパラメータ
★★★★☆：高頻度で利用され、多くの一般的なカスタマイズで役立つ重要なパラメータ
★★★☆☆：中程度の頻度で利用され、特定の機能を実現する際に便利なパラメータ
★★☆☆☆：利用頻度はやや低めですが、特定の要件や細かな制御を行いたい場合に役立つパラメータ
★☆☆☆☆：利用頻度は低く、非常に限定的な状況や高度なカスタマイズでのみ使用されるパラメータ

関数名	主な役割・説明 (重要度/利用頻度)	主な引数	返り値	使用シーン (出力先コンテキスト)
`esc_html()`	★★★★★ HTMLテキストとして出力する文字列をエスケープします。`<`, `>`, `&`, `"`, `'` などをHTMLエンティティに変換し、XSSを防ぎます。	`string $text` (エスケープする文字列)	`string`	HTML要素のコンテンツ部分 (例: `<p>ここに表示</p>`, `<h1>ここ</h1>`)
`esc_attr()`	★★★★★ HTML属性値として出力する文字列をエスケープします。属性値内でHTMLタグが閉じられたり、JavaScriptが実行されたりするのを防ぎます。	`string $text`	`string`	HTMLタグの属性値 (例: `<input type="text" value="ここ">`, `<img alt="ここ">`)
`esc_url()`	★★★★★ URLとして出力する文字列をエスケープし、検証します。不正なプロトコル (例: `javascript:`) や無効な文字を除去・エンコードします。	`string $url` (エスケープするURL), `string[]\|null $protocols` (許可するプロトコルの配列、省略可), `string $_context` (通常は変更不要)	`string` (安全なURL、または空文字列)	`<a href="ここ">`, `<img src="ここ">` など、URLが期待される場所
`esc_js()`	★★★★☆ JavaScriptコード内で文字列リテラルとして出力するデータをエスケープします。シングルクォート、ダブルクォート、バックスラッシュなどをエスケープし、JSコードの破壊やXSSを防ぎます。	`string $text`	`string`	インラインJavaScript内の文字列 (例: `<script>var name = 'ここ';</script>`)
`esc_textarea()`	★★★★☆ `<textarea>`要素のコンテンツとして出力する文字列をエスケープします。`esc_html()`と似ていますが、改行は保持される傾向にあります。	`string $text`	`string`	`<textarea>ここ</textarea>`
`wp_kses_post()`	★★★★☆ 投稿本文のような、ある程度制限されたHTMLタグの使用を許可しつつ、危険なタグや属性を除去（サニタイズ）します。WordPressの投稿保存時にも内部的に使われます。出力時にも信頼できないHTMLを安全に表示するのに使えます。	`string $string` (処理するHTML文字列)	`string` (サニタイズ後のHTML文字列)	ユーザーが入力したリッチテキストコンテンツの表示、投稿本文の表示など
`wp_kses( $string, $allowed_html, $allowed_protocols = array() )`	★★★☆☆ `wp_kses_post()`よりも柔軟に、許可するHTMLタグと属性を自分で定義してフィルタリングします。	`string $string`, `array $allowed_html` (許可タグと属性の配列), `string[] $allowed_protocols`	`string`	特定のHTML構造のみを許可したいカスタムフィールドの表示など
`wp_json_encode()`	★★★☆☆ PHPの値をJSON形式にエンコードし、JavaScriptで安全に使用できるようにします。特殊文字を適切にエスケープします。`wp_localize_script`と併用されることが多いです。	`mixed $data` (エンコードするデータ), `int $options` (JSONエンコードオプション), `int $depth` (再帰深度)	`string\|false` (JSON文字列または失敗時false)	PHPからJavaScriptへデータを渡す際 (例: `<script>var phpData = ;</script>`)

入力時/保存時の主要サニタイズ関数一覧

ユーザーからの入力値や外部から取得したデータをデータベースに保存する前、または重要な処理に使用する前に呼び出す主要なサニタイズ関数です。これにより、データが期待する形式であることを保証し、不正なコードの混入を防ぎます。

関数名	主な役割・説明 (重要度/利用頻度)	主な引数	使用シーン
`sanitize_text_field()`	★★★★★ 一般的な一行テキストフィールドの入力値をサニタイズします。全てのHTMLタグを除去し、改行をスペースに変換、不正な文字エンコーディングを修正、オクテットをトリムします。	`string $str` (サニタイズする文字列)	テキスト入力、検索キーワード、オプション値など、プレーンテキストが期待されるほぼ全ての場面
`sanitize_textarea_field()`	★★★★☆ 複数行テキストフィールド（textarea）の入力値をサニタイズします。`sanitize_text_field()`と似ていますが、改行は保持される傾向にあります（ただし、過度な連続改行は除去されることも）。HTMLタグは除去。	`string $str`	複数行のコメント、説明文など（HTMLを許可しない場合）
`sanitize_email()`	★★★★★ メールアドレスとして不正な文字を全て除去します。メールアドレスの形式として妥当かどうかまでは厳密にはチェックしません（別途バリデーション推奨）。	`string $email`	メールアドレス入力フィールド
`sanitize_file_name()`	★★★★☆ ファイル名をサニタイズします。スペースをハイフンに置換、特殊文字を除去し、安全なファイル名にします。	`string $filename`	アップロードされたファイル名、プログラムで生成するファイル名など
`sanitize_html_class()`	★★★☆☆ CSSのクラス名として使用できる安全な文字列に変換します。複数のクラス名をスペースで区切って渡すことも可能。	`string $class`, `string $fallback` (不正な場合に返す代替値)	ユーザー入力や動的に生成されるCSSクラス名
`sanitize_key()`	★★★☆☆ スラッグやオプションキー、メタキーなどに使用できる、小文字の英数字とアンダースコア、ハイフンのみからなる文字列に変換します。	`string $key`	データベースのキー名、URLスラッグの一部など
`sanitize_title()` / `sanitize_title_with_dashes()`	★★★★☆ タイトルをスラッグに適した形式に変換します。スペースをハイフンに、特殊文字を除去、小文字化など。`sanitize_title_ with_dashes`は`sanitize_title`のエイリアスです。	`string $title`, `string $fallback_title`, `string $context` (‘save’ or ‘display’)	投稿タイトルからスラッグを生成する際など
`sanitize_user()`	★★★☆☆ ユーザー名をサニタイズします。不正な文字を除去。第2引数で厳密なサニタイズも可能。	`string $username`, `boolean $strict` (厳密モード)	ユーザー登録時のユーザー名入力
`absint()`	★★★★★ 値を絶対整数（0以上の整数）に変換します。負の数や小数は切り捨てられ、数値以外のものは0になります。	`mixed $maybeint`	投稿ID、ユーザーID、数値オプションなど、正の整数が期待される場面
`intval()` (PHP関数)	★★★★★ 値を整数に変換します。`absint()`と異なり負の数も許容。	`mixed $value`, `int $base` (基数、通常は10)	汎用的な数値入力、カウンターなど
`floatval()` (PHP関数)	★★★☆☆ 値を浮動小数点数に変換します。	`mixed $value`	価格、寸法など小数が含まれる可能性のある数値
`wp_kses_post()`	★★★☆☆ (入力時にも使用可) ユーザーが入力したHTMLコンテンツから、WordPressの投稿で許可されているHTMLタグと属性のみを残し、他を除去します。	`string $string`	ユーザーがリッチテキストエディタで入力した内容の保存時など
`map_deep( $value, $callback )`	★★★☆☆ 配列やオブジェクトの各要素に対して、再帰的に指定したコールバック関数（サニタイズ関数など）を適用します。`$_POST`のような複雑な配列データを一括でサニタイズするのに便利。	`mixed $value` (処理対象の配列/オブジェクト/値), `callable $callback` (適用する関数)	フォームから送信された配列データの一括サニタイズなど

サンプルコード集 (エスケープ＆サニタイズの実践例)

1. フォームからの入力値をサニタイズして投稿メタとして保存、表示時にエスケープ

<?php
// --- 保存処理 (例: save_post フック内) ---
if ( isset( $_POST['my_custom_text_field'] ) && isset( $_POST['my_custom_url_field'] ) ) {
    // 入力値をサニタイズ
    $sanitized_text = sanitize_text_field( $_POST['my_custom_text_field'] );
    $sanitized_url  = esc_url_raw( $_POST['my_custom_url_field'] ); // DB保存用URLは esc_url_raw も使われる

    // 投稿メタとして保存
    update_post_meta( $post_id, '_my_text_meta_key', $sanitized_text );
    update_post_meta( $post_id, '_my_url_meta_key', $sanitized_url );
}

// --- 表示処理 (例: single.php など) ---
$text_value = get_post_meta( get_the_ID(), '_my_text_meta_key', true );
$url_value  = get_post_meta( get_the_ID(), '_my_url_meta_key', true );

if ( $text_value ) {
    echo '<p>保存されたテキスト: ' . esc_html( $text_value ) . '</p>';
}
if ( $url_value ) {
    // URLは属性値として出力するので esc_url() でエスケープ (esc_url_raw で保存した場合も表示時は esc_url)
    echo '<p>関連リンク: <a href="' . esc_url( $url_value ) . '">' . esc_html( $text_value ? $text_value : 'リンク' ) . '</a></p>';
}
?>

<?php

// --- 保存処理 (例: save_post フック内) ---

if ( isset( $_POST['my_custom_text_field'] ) && isset( $_POST['my_custom_url_field'] ) ) {

// 入力値をサニタイズ

$sanitized_text = sanitize_text_field( $_POST['my_custom_text_field'] );

$sanitized_url = esc_url_raw( $_POST['my_custom_url_field'] ); // DB保存用URLは esc_url_raw も使われる

// 投稿メタとして保存

update_post_meta( $post_id, '_my_text_meta_key', $sanitized_text );

update_post_meta( $post_id, '_my_url_meta_key', $sanitized_url );

}

// --- 表示処理 (例: single.php など) ---

$text_value = get_post_meta( get_the_ID(), '_my_text_meta_key', true );

$url_value = get_post_meta( get_the_ID(), '_my_url_meta_key', true );

if ( $text_value ) {

echo '<p>保存されたテキスト: ' . esc_html( $text_value ) . '</p>';

}

if ( $url_value ) {

// URLは属性値として出力するので esc_url() でエスケープ (esc_url_raw で保存した場合も表示時は esc_url)

echo '<p>関連リンク: <a href="' . esc_url( $url_value ) . '">' . esc_html( $text_value ? $text_value : 'リンク' ) . '</a></p>';

}

esc_url_raw() はURLをデータベースに保存する際などに使われ、esc_url() はHTMLの属性値などに出力する際に使われます。

2. ユーザーが入力したコメント内容を安全に表示 (WordPressが内部で行う処理に近い)

<?php
// ユーザーがコメントフォームから送信した内容を $comment_content に代入したと仮定
// $comment_content = $_POST['comment']; // 実際にはもっと多くの処理が入る

// 保存前にkjes_postなどで許可されたHTMLのみにする処理がWordPress内部で行われる
// $sanitized_comment_content = wp_kses_post( $comment_content );
// update_comment_meta( $comment_id, 'user_raw_comment', $sanitized_comment_content ); // 例

// 表示時 (コメントループ内など)
// $display_comment_content = get_comment_text( $comment_id ); // これが推奨
// echo $display_comment_content;

// もし wp_kses_post でサニタイズされたデータを直接表示する場合
// $saved_comment_content = get_comment_meta( $comment_id, 'user_raw_comment', true );
// echo wp_kses_post( $saved_comment_content ); // 既にサニタイズ済みだが、念のため再度通すのも良い
?>

<?php

// ユーザーがコメントフォームから送信した内容を $comment_content に代入したと仮定

// $comment_content = $_POST['comment']; // 実際にはもっと多くの処理が入る

// 保存前にkjes_postなどで許可されたHTMLのみにする処理がWordPress内部で行われる

// $sanitized_comment_content = wp_kses_post( $comment_content );

// update_comment_meta( $comment_id, 'user_raw_comment', $sanitized_comment_content ); // 例

// 表示時 (コメントループ内など)

// $display_comment_content = get_comment_text( $comment_id ); // これが推奨

// echo $display_comment_content;

// もし wp_kses_post でサニタイズされたデータを直接表示する場合

// $saved_comment_content = get_comment_meta( $comment_id, 'user_raw_comment', true );

// echo wp_kses_post( $saved_comment_content ); // 既にサニタイズ済みだが、念のため再度通すのも良い

実際には、コメント表示には comment_text() や get_comment_text() といった専用のテンプレートタグや関数を使うのが一般的で、これらは内部で適切なエスケープ処理を行っています。

3. JavaScriptに変数を渡す際の`wp_json_encode`と`esc_js`

<?php
// PHP側
$my_data_for_js = array(
    'message' => "Hello, O'Reilly!",
    'url'     => home_url('/path-to-something?query=value&another=val'),
    'needs_confirmation' => true
);
wp_enqueue_script('my-script-handle'); // 事前にスクリプトを登録・キュー追加しておく
wp_localize_script('my-script-handle', 'php_vars', $my_data_for_js); // wp_json_encodeは内部で使われる

// JavaScript側 (my-script-handle で読み込まれるJSファイル内)
// console.log(php_vars.message); // "Hello, O'Reilly!"
// console.log(php_vars.url);     // 正しくエンコードされたURL
// if (php_vars.needs_confirmation) { /* ... */ }

// もしインラインでJSに値を渡したい場合 (非推奨だが例として)
$js_string_variable = "特殊な'文字列\"です。\n改行も含む。";
?>
&lt;script type="text/javascript"&gt;
    var myJsString = '<?php echo esc_js( $js_string_variable ); ?>';
    console.log(myJsString);
&lt;/script&gt;

<?php

// PHP側

$my_data_for_js = array(

'message' => "Hello, O'Reilly!",

'url' => home_url('/path-to-something?query=value&another=val'),

'needs_confirmation' => true

);

wp_enqueue_script('my-script-handle'); // 事前にスクリプトを登録・キュー追加しておく

wp_localize_script('my-script-handle', 'php_vars', $my_data_for_js); // wp_json_encodeは内部で使われる

// JavaScript側 (my-script-handle で読み込まれるJSファイル内)

// console.log(php_vars.message); // "Hello, O'Reilly!"

// console.log(php_vars.url); // 正しくエンコードされたURL

// if (php_vars.needs_confirmation) { /* ... */ }

// もしインラインでJSに値を渡したい場合 (非推奨だが例として)

$js_string_variable = "特殊な'文字列\"です。\n改行も含む。";

var myJsString = '<?php echo esc_js( $js_string_variable ); ?>';

console.log(myJsString);

</script>

エスケープ・サニタイズを怠った場合のリスク

これらの処理を怠ると、以下のようなセキュリティ上の深刻な問題を引き起こす可能性があります。

クロスサイトスクリプティング (XSS): 悪意のあるユーザーが入力フォームやURLパラメータ経由で不正なJavaScriptコードを埋め込み、他のユーザーのブラウザ上で実行させてしまう攻撃です。これにより、セッション情報（クッキー）の窃取、個人情報の漏洩、サイト改ざんなどが行われる可能性があります。適切なエスケープ処理で防ぎます。
データベースへの不正なデータ混入: サニタイズが不十分だと、意図しない形式のデータや、SQLインジェクション（別途$wpdb->prepare()で対策）に繋がる可能性のある文字列がデータベースに保存されてしまうリスクがあります。
サイト表示の崩れや機能不全: 特殊文字がエスケープされずにHTMLやJavaScriptとして解釈されると、レイアウトが崩れたり、スクリプトがエラーを起こしたりします。

よくある質問 (FAQ)

Q1: どの関数をいつ使えばいいのか、具体的な使い分けのポイントは？

A1: 基本原則は「出力先のコンテキストに応じて適切なエスケープ関数を選ぶ」「入力データは期待する形式にサニタイズする」です。

HTML要素の「中身」に出力するなら esc_html()。
HTMLタグの「属性値」に出力するなら esc_attr()。
URLとして出力するなら esc_url()。
JavaScriptコード内の文字列として出力するなら esc_js()。
ユーザー入力の自由テキスト（一行）を保存するなら sanitize_text_field()。
メールアドレスなら sanitize_email()。
HTMLをある程度許可しつつ安全にしたいなら wp_kses_post() や wp_kses()。

Q2: wp_kses_post() と esc_html() の主な違いは何ですか？

A2: esc_html() は全てのHTML特殊文字をエンティティに変換するため、結果としてHTMLタグは一切レンダリングされなくなります（例: <p> はそのまま <p> と表示される）。一方、wp_kses_post() は、WordPressの投稿本文で許可されているHTMLタグ（例: <p>, <a>, <strong>など）は保持しつつ、危険なタグや属性は除去します。つまり、HTMLを部分的に許可したい場合はwp_kses_post()、HTMLを一切許可しないプレーンテキストとして表示したい場合はesc_html()を使います。

Q3: 国際化関数 (例: __(), _e()) とエスケープ関数はどちらを先に行うべきですか？

A3:

通常は「国際化（翻訳）してからエスケープ」の順序が推奨されます。

WordPressには、esc_html__(), esc_html_e(), esc_attr__(), esc_attr_e() のように、翻訳とエスケープを同時に行う便利な関数が用意されています。これらを使うことで、コードが簡潔になり、処理の順序を間違えるリスクも減ります。

まとめ

データのエスケープとサニタイズは、WordPressサイトを安全に保つための最も基本的な防御策です。開発者は、外部から入力されるデータや、データベースから取得して表示するデータに対して、常に適切な処理を施す責任があります。今回紹介した関数群を正しく理解し、コーディングの習慣として取り入れることで、多くの一般的な脆弱性からサイトを守ることができます。セキュリティは継続的な取り組みですので、常に最新の情報をキャッチアップし、意識を高めていきましょう。

私たち「えでるはーつ」は、埼玉県川越市に技術の拠点を置き、全国のお客様へWordPressサイトのセキュリティ診断、脆弱性対策、改ざんからの復旧支援、そして安全なカスタマイズやプラグイン開発を提供しています。セキュリティに関するご不安やお悩み事がございましたら、専門家の視点からサポートさせていただきます。

WordPress顧問エンジニアサービスをご検討くださいね。お客様のサイトのセキュリティ強化や、開発チームのスキルアップをお手伝いします。

エーデルハーツ

Custom WordPress Support & Development