루체

사용자로부터 정보를 받으면서 사용자로부터 받는 정보는 오염이 될 가능성이 생깁니다. 그래서 이런것을 방지를 해줘야 합니다. 일어날 수 있는 주요한 사고는 크게 두가지 입니다. 하나는 들어오는 정보에서 문제가 있는 정보를 막아내는 것이고 다른 하나는 이미 문제가 있는 정보가 들어와 있는 상태에서 그 정보가 사용자에게 노출되는 것을 막는것. 즉 입력단과 출력단 모두에서 문제가 발생할 수 있다는 것입니다. 입력 공격의 차단을 filtering 출력 공격의 차단을 escaping 이라고 합니다. 보안에 있어서 첫번째 요소는 사용자가 입력한 정보를 철저히 불신하라는 것입니다. 그리고 어떻게 불신해야 되는가에 대한 것도 상당히 중요합니다. 이번 글에는 바로 그 불신의 기술을 알아보는 것입니다. 사용자가 입력하는 것..

PHP에서 Cross Site Scripting을 방지하기 위한 함수가 두가지가 있습니다. htmlspecialchars라는 함수가 있습니다. 그래서 사용자가 내용을 작성할 수 있는 모든 곳에다 다 작성을 해주시면 됩니다. htmlspecialchars를 사용을 하지 않으면 이렇게 script를 작성해서 javascript문법으로 다른 웹페이지로 보내버리거나 더 심한 경우가 생길 수도 있습니다. 그래서 이것을 사용을 하면 어떻게 되는지 간단하게 보여드리겠습니다. 이렇게 작성을 하게 되면 이미지나 줄바꿈이나 몇몇 필수 태그들을 사용을 못할수도 있습니다. 그래서 php에서는 stric태그라는 것이 있습니다. 그것을 사용을 하면 태그를 다 날려버리고 특정 태그들만 사용을 할 수 있도록 옵션을 지정을 할 수 있..