PHP 데이터 유효성 검사

Question

PHP로 데이터 유효성 검사 코드를 만들려고하고 있는데 어떻게해야하는지 궁금합니다. 누군가가 내 웹 사이트의 입력란을 통해 코드 또는 스크립트를 주입 할 수 있음을 알고 있습니다. < "/\과 같은 문자의 삽입을 막고 있지만 사용해야 할 다른 것을 알지 못합니다. 예를 들어 나는 $ var에 데이터를 받아들입니다. 누군가가 echo "<div style = "position: fixed; height: 1000px; width: 100%" ></div>"을 입력하면 $ $ var에 받아 들여 코드를 실행해도 여전히 실행됩니다. 호스트가이를 막을 메커니즘이 없다면

Answer 1

아니요, 코드를 실행하지 않습니다. 무슨 말씀을 하시려는가 크로스 사이트 스크립팅 (XSS)은 $var에 수용되는 것이 아니라 최종 사용자에게 $var을 표시하는 방법에 대해 걱정해야합니다.

HTML 태그는 PHP에서 아무 의미가 없음을 기억하십시오. 사용자의 브라우저에 무엇인가가 적용되는 경우에만 표시됩니다. 따라서이를 사용자에게 표시하려면 HTML 항목을 변환해야합니다.

echo htmlentities($var);