エスケープとは

コンピュータにおいて入力文字列から特殊な記号などを無害化する処理。特にサニタイジングなど。
Wikiより

ネットを閲覧していたら、いつのまにかクレジットカードの番号が漏れてしまったら、、、
これはやばいですよね。

Web 開発ではセキュリティとして悪意のあるコードを埋め込まれないように対策をします。

ユーザが自由な文章を入力できる場合、厳密に「悪意のあるコード」を識別することはコンピューターに難しいです。
そのため「変なものを入力されても影響がないようにする」と言う観点で行うのがエスケープです。


インターネットは基本 HTML 文字の集合体です。
ブログやツイッター (Web) なども、細かく分解してくと全て文字です。

投稿文に HTML 文字を入力、表示する場合、ブラウザは「開発者が入力した HTML か他の人が入力した HTML か」がわかりません。

ですから「他の人が入力した HTML 」を HTML ではないただの文字列に変換して攻撃を無害化するんですね。

具体的には、、、次のように __ HTML として意味を持つ記号を実態参照__ に変換します。

記号 実態参照
< &lt; 小なり
> &gt; 大なり
& &amp; アンパサンド
&quot; ダブルクォーテーション
&#x27 シングルクォーテーション
` &#x60 バッククォート

詳しい記事

バイラルクラブ
サニタイジング(エスケープ)とは?HTML特殊文字を無害化しない事による脅威と対策のまとめ
http://viral-community.com/blog/html-sanitizing-escape-1859/