🐘웹사이트의 비하인드 PHP : 보안 XSS

마지막으로 우리가 textarea에서 글을 작성할 때 발생되는 보안 문제를 해결할 것이다. textarea에 우리가 직접적으로 코드를 작성하면 그 코드가 적용되는 것을 볼 수 있다. 이러한 현상을 막기위해서  htmlspecialchars()함수를 이용할 것이다. 사용자가 입력하는 정보는 모두 의심해야한다. 따라서 아래 코드를 통해서 전에 작성한 코드들을 비교해보자.

print.php

<?php

function print_title()

{

  if (isset($_GET['id'])) {

    echo htmlspecialchars($_GET['id']);

  } else {

    echo "Welcome";

  }

}

function print_description()

{

  if (isset($_GET['id']) && !$_GET['id'] == '') {

    echo htmlspecialchars(file_get_contents("data/" . $_GET['id']));

  } else if (isset($_GET['id']) && $_GET['id'] == '') {

    echo "Empty description. Retry!";

  } else {

    echo "Hello, PHP";

  }

}

function print_list()

{

  $list = scandir('data'); // 해당 디렉토리 안에 있는 파일을 list라는 변수 안에 담아 둔다.

  $i = 0;

  while ($i < count($list)) {

    $title = htmlspecialchars($list[$i]);

    //count 함수를 통해서 해당 list의 leng길이를

    if ($list[$i] != '.') {

      if ($list[$i] != '..') {

?>

        <li><a href="index.php?id=<?= $title ?>"><?= $title ?></a></li>

<?php

      }

    }

    $i = $i + 1;

  }

}

?>

사용자가 직접 입력하는 부분은 무조건 불신하고 htmlspecialchars()함수를 사용해야한다. 보안과 관련된 정보는 이후에 차차 보안을 공부하면서 더 깊이 있게 다루어보면 좋겠다.