🐬MySQL&🐘PHP : 돌고래와 코끼리의 울타리 보안

---

이번에는 우리가 만들어 놓은 웹사이트의 보안을 설정하는 방법을 만들어 볼 것이다. 즉, 사용자가 입력하는 정보를 철저히 무시하는 것이다. 즉, 우리가 만들어 놓은 사이트의 URL에서 매개변수를 조작해서 데이터 정보를 마음대로 조작할 수 있다. 이것을 SQL injection이라고 한다. 따라서 이것을 차단하는 방법을 배워 볼 것이다.

mysqli_real_escape_string()

index.php

if (isset($_GET['id'])) {
  $filtered_id = mysqli_real_escape_string($conn, $_GET['id']);
  $sql = "SELECT * FROM topic WHERE id={$filtered_id}";
  $result = mysqli_query($conn, $sql);
  $row = mysqli_fetch_array($result);
  $article['title'] = $row['title'];
  $article['description'] = $row['description'];
}

process_create.php

$filtered = array(
  'title' => mysqli_real_escape_string($conn, $_POST['title']),
  'description' => mysqli_real_escape_string($conn, $_POST['description'])
);

$sql = "
  INSERT INTO topic(title, description, created)
  VALUES(
    '{$filtered['title']}',
    '{$filtered['description']}',
    NOW()
  )
";

강의에서 SQL injection의 원리를 설명하지만 여기서 따로 언급하지는 않겠다. 필요하다면 아래 태그를 통해서 강의를 살펴보자. (차후에 따로 정리할 예정이다.)

htmlspecialchars()

htmlsepcialchars()함수는 php에서 HTML 특수 문자를 이스케이프하여 웹 페이지에서 안전하게 출력할 수 있도록 도와준다. 즉, 우리가 create를 할 때 생성하는 input란에 해당 HTML 특수문자나 코드를 작성하고 생성할 때 오로지 문자로만 출력할 수 있게 해주는 것이다. 다시 말해서 사용자가 직접적으로 웹 브라우저에 HTML코드로 영향을 주지 않게 하는 것이다.

while ($row = mysqli_fetch_array($result)) {
  $escaped_title = htmlspecialchars($row['title']);
  $list = $list . "<li><a href=\"index.php?id={$row['id']}\">{$escaped_title}</a></li>";
}

$article = array(
  'title' => 'Welcome',
  'description' => 'Hello, web'
);

if (isset($_GET['id'])) {
  $filtered_id = mysqli_real_escape_string($conn, $_GET['id']);
  $sql = "SELECT * FROM topic WHERE id={$filtered_id}";
  $result = mysqli_query($conn, $sql);
  $row = mysqli_fetch_array($result);
  $article['title'] = htmlspecialchars($row['title']);
  $article['description'] = htmlspecialchars($row['description']);
}

위의 코드는 htmlspecialchars를 사용한 부분의 코드이다.