token にも h 関数を実行しているのはなぜでしょうか?

複数人で担当を分けて実装することもあるため、安全のため h() を適用しておくことになります。
2024年1月17日
ユーザー

フォームに値を埋め込む際は記号なども単なる文字列として扱うため htmlspecialchars を適用させた方がいいという認識です。
この場合、セッションに保存した token はランダムな 2 進数を 16 進数に変換したものであり記号などは含まれる可能性がないと思うのですが、フォームに仕込んだ token にも h 関数を実行しているのはなぜでしょうか。

この回答を見るにはプレミアムサービスへの登録が必要です

プレミアムサービスとは?