특수글자들을 안전하게 처리하기
javascript나 nodejs 에서 따옴표와 같은 특수기호들은 해커들이 SQL 인젝션에서 자주 사용되군 합니다.
때문에 이러한 특수글짜들이 포함된 문자열을 디비에 넣거나 웹브라우저에서 현시할때에는 무의미성 기호로 처리하는것이 중요합니다. PHP에서는 htmlspecialchars(); mysql_real_escape_string() 등이 특수글자를 안전하게 처리하면서도 PDO을 사용해서 디비에 쿼리를 실행할때 파라미터로 바인딩하는 보안로직을 심어주어 해결합니다.
[code]
function escapeHTML (str) {
var val = '';
if(typeof str === 'undefined') val = '';
else {
if(typeof str === 'string'){
val = str.replace(/\0/g, '').trim();
} else {
val = str;
}
}
return (function() {
var entityMap = {
"&": "&",
"<": "<",
">": ">",
'"': '"',
"'": ''',
"\\": '\\\\'
};
return String(val).replace(/[&<>"'\\]/g, function (s) {
return entityMap[s];
});
//};
})();
};
[/code]
그누보드에서도 특수글자처리를 위한 제나름의 보안로직이 있습니다. 그저 사용자들이 잘 알고, 개발자들이 이 함수도 이용하면 감사할뿐입니다.
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 10개
그런데 이걸 어떻게 활용하는지 살짝 더 팁을 주시면 더욱더 감사 드리겠습니다. ^^
가령, 사용자들이 입력한 정보를 디비에 넣기전에 디비의 보안을 위해 escapeHTML('사용자가 입력한 값') 의 리턴값을 저장합니다. 또는 디비에 저장된 자료를 escapeHTML('디비자료')의 리턴값을 웹브라우저에 출력시키면 스크립트인젝션공격을 보다 안전하게 대책할수 있습니다. 감사합니다.