PHP 개발 - HTML 태그나 스크립트의 작동을 막기 htmlspecialchars

PHP를 활용하여 개발을 하다 보면 DB에 저장되어 있는 글을 가져와 표시해야할 때가 있습니다. 그럴때 DB 내용에 HTML 태그나 여타 스크립트가 포함되어 레이아웃이 사용자 임의대로 변경되거나 XSS 공격에 사용될 수 있습니다.

DB에서 불러올 때 문자열을 변환해 이런 태그나 스크립트의 작동을 막아주는 함수입니다.

 PHP 개발 - HTML 태그나 스크립트의 작동을 막기 htmlspecialchars

PHP 사용 예시

echo htmlspecialchars($content);

위와 같이 하면 만약에 $content 변수에 <script>를 집어넣으면 &lt;script&gt;로 변환되어 더이상 스크립트의 역할을 하지 못하게 됩니다.

하지만 사용자가 브라우저로 보는 상에서는 <script> 문자열로 잘 보입니다. 

주로 인터넷 게시판에서 글 작성시 스크립트로 동작하지 않고 문자열로 잘 보이는 것과 같은 원리입니다.(HTML 허용시는 당연히 예외)

이 함수에 대한 더 자세한 사용방법이나 설명은 PHP 사이트에서 확인할 수 있습니다.

http://docs.php.net/manual/en/function.htmlspecialchars.php

도움이 되셨나요?

그럼 손가락을 눌러주세요:)