728x90
반응형
1
str_replace 함수
str_replace('찾을 문자열', '치환할 문자열', 변수);
게시판이 입력폼으로 값을 받을때 <script>alert('hi');</script> 이런식으로 값이 들어와서 db에 insert가 되면
리스트에서 계속 스크립트가 실행 되서 사용자들이 정상적으로 이용을 못하게 된다.
그래서 항상 필터링을 해줘야된다.
$title = '<script>alert('hi');</script>';
$contents = $_POST['contents'];
$title = str_replace("<script>", "", $title);
$contents = str_replace("<script>", "", $contents);
이렇게 하면 결과는
alert('hi'); 앞뒤 script는 삭제된 값만 노출되서 스크립트가 실행되지 않는다.
2
htmlspecialchars 함수
$title = htmlspecialchars($_POST['title']);
$contents = htmlspecialchars($_POST['contents']);
값을 받을때 감싸주면 된다.
728x90
반응형
'코딩 > PHP' 카테고리의 다른 글
| [PHP] 문자열 길이 가져오기 mb_strlen 함수 (0) | 2022.08.25 |
|---|---|
| [PHP] in_array() 함수 배열안에 값이 존재하는지 확인 (0) | 2022.07.31 |
| [PHP]핸드폰번호 정규식 (0) | 2022.07.25 |
| [PHP]number_format() 천단위 콤마 (0) | 2022.07.25 |
| [PHP]IP로 국가 및 도시 알아내기 (0) | 2022.07.25 |
