사용자 입력값 받는 경우, 위험코드 거르려면?
본문
값 유효성을 떠나서, strip_tags() 하나 해주면 위험코드 제거 만사 OK일까요?
답변 1
위험코드는 블랙리스트가 아닌 화이트리스트를 사용하는 것이 안전합니다.
예를 들어 게시판에서 사용할 아이프레임 주소를 안전한 사이트 주소만 입력하고 나머지 주소는 배제하듯이요.
블랙리스트를 사용하면 차후 또 어떤 좋지 못한 코드가 나올 경우에는 계속 수정해야 하지요.
물론 그렇게 하기 위해서는 초대박 노가다가 예상됩니다.ㅜㅠ
저는 일찌감치 포기했어요.^^
일단 꺾쇠가 들어가는 애들 중에 허용할 애들 <img> 등의 화이트리스트를 작성하고
태그내에서 직접 이벤트를 줄 수 있는 on 자가 들어가는 것들... onload 나 onerror 등등의 블랙리스트를 작성하는 것이 가장 일반적인 방법입니다.
답변을 작성하시기 전에 로그인 해주세요.