PHP를 활용하여 개발을 하다 보면 DB에 저장되어 있는 글을 가져와 표시해야할 때가 있습니다. 그럴때 DB 내용에 HTML 태그나 여타 스크립트가 포함되어 레이아웃이 사용자 임의대로 변경되거나 XSS 공격에 사용될 수 있습니다.
DB에서 불러올 때 문자열을 변환해 이런 태그나 스크립트의 작동을 막아주는 함수입니다.
PHP 개발 - HTML 태그나 스크립트의 작동을 막기 htmlspecialchars
PHP 사용 예시
echo htmlspecialchars($content);
위와 같이 하면 만약에 $content 변수에 <script>를 집어넣으면 <script>로 변환되어 더이상 스크립트의 역할을 하지 못하게 됩니다.
하지만 사용자가 브라우저로 보는 상에서는 <script> 문자열로 잘 보입니다.
주로 인터넷 게시판에서 글 작성시 스크립트로 동작하지 않고 문자열로 잘 보이는 것과 같은 원리입니다.(HTML 허용시는 당연히 예외)
이 함수에 대한 더 자세한 사용방법이나 설명은 PHP 사이트에서 확인할 수 있습니다.
http://docs.php.net/manual/en/function.htmlspecialchars.php
도움이 되셨나요?
그럼 손가락을 눌러주세요:)
'Development > PHP' 카테고리의 다른 글
| PHP에서 startsWith, endsWith 사용하기 (0) | 2017.06.11 |
|---|---|
| PHP 개발 - 문자열 치환하기 str_replace (0) | 2014.06.17 |
| PHP 개발(explode) - 문자열을 구분자로 나누기 (1) | 2014.05.22 |
| PHP 개발 - 배열(array) 한줄로 출력하기 (0) | 2014.03.24 |
| PHP 개발 - 배열(array) 사용하기 (0) | 2014.03.21 |
