GET,POST값 등을 JAVASCRIPT에서 사용할 경우[펌]
<script>
//<!-- or //<![CDATA[
~~~ 내용 ~~~
//--> or// ]]>
</script>
기본 자바스크립트 모양이 이럴건데
<!-- 등 때문에 살짝 문제가됨.
# 문제점
<script>
//<!--
var req = "<?=$_GET['req']?>";
//-->
</script>
처럼 할 경우
req의 내용이
";--> <script>alert('X');</script>
처럼 되어있다면?
<script>
//<!--
var req = "";--> <script>alert('X');</script>";
//-->
</script>
이렇게 결과가 되며
스크립트 동작에 문제가 있을 수 있다.(요즘 브라우저는 스크립트 공격으로 보고 스크립트 동작을 멈춘다.)
$_GET말고도 DB의 내용등 PHP에서 javascript로 값을 남겨 사용할 경우도 똑같다.
#해결법
<!-- 등의 HTML 주석 처리 부분을 빼고, htmlspecialchars() 를 사용한다.
<script>
var req = "<?=htmlspecialchars($_GET['req'])?>";
</script>
아래처럼 HTML엔터티 처리가되서 무사 OK
<script>
var req = "";--> <script>alert('X');</script>";
</script>
#추가
스크립트 코딩시 &나 >,< 같은 단어의 엔터티 처리가 힘드므로
<script>
var req = "<?=htmlspecialchars($_GET['req'])?>";
</script>
<script>
//<!--
var f = document.form1;
f.req.value = req;
//-->
</script>
처럼 값 선언 부분과 비지니스 처러 부분을 따로하고
비니지스 처리 부분만 HTML 주석처리 해주면 된다.