GET,POST값 등을 JAVASCRIPT에서 사용할 경우[펌]

<script> 

//<!-- or //<![CDATA[ 

~~~ 내용 ~~~ 

//--> or// ]]> 

</script> 

기본 자바스크립트 모양이 이럴건데 

<!-- 등 때문에 살짝 문제가됨. 

# 문제점 

<script> 

//<!-- 

var req = "<?=$_GET['req']?>"; 

//--> 

</script> 

처럼 할 경우 

req의 내용이 

";--> <script>alert('X');</script> 

처럼 되어있다면? 

<script> 

//<!-- 

var req = "";--> <script>alert('X');</script>"; 

//--> 

</script> 

이렇게 결과가 되며 

스크립트 동작에 문제가 있을 수 있다.(요즘 브라우저는 스크립트 공격으로 보고 스크립트 동작을 멈춘다.) 

$_GET말고도 DB의 내용등 PHP에서 javascript로 값을 남겨 사용할 경우도 똑같다. 

#해결법 

<!-- 등의 HTML 주석 처리 부분을 빼고, htmlspecialchars() 를 사용한다. 

<script> 

var req = "<?=htmlspecialchars($_GET['req'])?>"; 

</script> 

아래처럼 HTML엔터티 처리가되서 무사 OK 

<script> 

var req = "";--> <script>alert('X');</script>"; 

</script> 

#추가 

스크립트 코딩시 &나 >,< 같은 단어의 엔터티 처리가 힘드므로 

<script> 

var req = "<?=htmlspecialchars($_GET['req'])?>"; 

</script> 

<script> 

//<!-- 

var f  = document.form1; 

f.req.value = req; 

//--> 

</script> 

처럼 값 선언 부분과 비지니스 처러 부분을 따로하고 

비니지스 처리 부분만 HTML 주석처리 해주면 된다.