2011. 4. 15. 09:25 프로그래밍/PHP
게시판 검색어를 통한 SQL INJECTION 방어
게시판에 검색어 필터링이 제대로 되지 않으면
SQL INJECTION 이라던가 ,,, 스크립트를 끼워넣는 XSS를 시도할 수 있게 되고 꽤 큰 보안상의 문제점이 발생할 수 있다.
그를 막기 위해서 꽤 간단한 코드를 통해 검색어에 포함된 XSS를 유발 할 가능성이 높은 아이들을 다른 글자로 치환을 해버리는 방법을 쓰기도 한다.
( 물론 아래의 코드는 간단히 생각가능 한 것들만 한 것이며, 더 완벽하고 멋진 코드를 짜려면 생각을 좀 해보거나 검색을 해서 좋은 코드를 구할 수 있겠지. )
$arr_illegal = array("&#",";","#","&","|mMm|59","|mMm|#35;","--","<",">","(",")","|mMm|special",'\"',"\'","'","document","cookie","java","script","meta","refresh","onload","xp_","1=1","passwd","or","and");
$arr_replaced = array("|mMm|special","","|mMm|#35;","&",";",""","--","<",">","(",")","&#","","","","","","","","","","","","","","","");
$query = str_replace($arr_illegal,$arr_replaced,$query);
'프로그래밍 > PHP' 카테고리의 다른 글
| PHP 변수에 현재 웹페이지 주소 받아오기 (0) | 2011.03.02 |
|---|
