その1はこちら
symfonyフレームワークのセキュリティ - あんこの成長記録

前回に続いて、コードを追いながらsymfonyの出力エスケープについて勉強していきたいと思います。
どこかに載ってる説明読むより、実際にコード追った方がしっかり理解できると思ってるので、しっかりコード追えるようになりたいです。

前回は、lib/vendor/symfony/lib/helper/EscapingHelper.phpで定義されたesc_specialchars()で、htmlspecialchars()によって出力エスケープが行われているところまで追って、力つきました。

ソースを追ったところ、出力エスケープを行っているesc_specialchars()の呼び出し元は、lib/vendor/symfony/lib/escaper/sfOutputEscaper.class.php 92行目の

if (is_scalar($value))
{
  return call_user_func($escapingMethod, $value);
}

です。

PHP: call_user_func - Manual

この部分で、エスケープ対象の変数$valueがスカラーなら、call_user_func()によって$escapingMethodによって指定された関数が呼び出されます。

$escapingMethodには'ESC_RAW', 'ESC_SPECIALCHARS', 'ESC_ENTITIES', 'ESC_JS', 'ESC_JS_NO_ENTITIES'のいずれかが指定され（デフォルトは'ESC_SPECIALCHARS'）、それぞれlib/vendor/symfony/lib/helper/EscapingHelper.phpにおいて

define('ESC_SPECIALCHARS', 'esc_specialchars');

のようにdefineによって定数宣言されているので、最終的にEscapingHelper.phpで定義されているesc_specialchars()等の関数が呼び出されて、出力がエスケープされます。
PHP: define - Manual