php : html 이스케이프 하기

- 사용자가 입력한 html 은 언제든지 XSS(Cross Site Scripthig) 공격의 가능성이 있다. 

- 이러한 공격을 대비하기 위해 html 을 치환한다.

 

 

★ php 작성 코드 

<?php

$html = <<<CDATA
A 'quote' is <b>bold</b> "한글" 데이터
CDATA;
$encode = htmlspecialchars($html);
echo $encode;echo PHP_EOL;

$decode = htmlspecialchars_decode($encode);
echo $decode;

?>

---

HTML 을 인코딩한 결과 $encode 는 아래와 같이 출력된다.

A 'quote' is <b>blod</b> "한글" 데이터

====================================

소스보기를 하면 아래와 같이 출력이 된다.

A 'quote' is &lt;b&gt;bold&lt;/b&gt; &quot;한글&quot; 데이터

---

HTML 을 인코딩 하지 않고 그대로 보여준 경우 $decode 는 아래와 같이 보여진다.

A 'quote' is <b>blod</b> "한글" 데이터

====================================

소스보기를 하면 아래와 같이 출력이 된다.

A 'quote' is <b>blod</b> "한글" 데이터

 

 

- htmlspecialchars 함수는 html 에서 XSS 공격을 방어하기 위해  특수 문자를 인코딩 한다. XSS 공격은 Cross Site Scripting 의 약자로 태그 등을 입력해서 서버의 보안 취약점을 노리는 공격이다.

 

- html 은 특수한 의미를 가지는 글자들 (ex 태그로 시작을 나타내는 < ) 등도 일반 문자로 표현하기위해

< 표시를 그대로 나타내고 싶으면  &lt; 로 쓰면된다는 등의 치환 규칙이 있다.

-#DEE2E6는 이규칙에 따라 html을 변환해준다.

 

 

• & 는 &amp; 로 변환한다.
• " 는 &quot; 로 변환한다.
• ' 는 ENT_QUOTES 옵션을 함께 줄때만 변환된다.
• < 는 &lit; 으로 변환된다.
• > 는 &gt; 으로 변환된다.

- 인코딩한 결과를 반대로 바꾸려면 디코딩 함수인 htmlspacialchars_decode 를 사용한다.