php 워드프레스 개발

워드프레스 안전한 코딩방법

최혁재 2023. 10. 6. 20:29

워드프레스(WordPress)에서 esc_html 함수는 웹 애플리케이션에서 보안과 웹페이지의 안전성을 유지하기 위해 사용되는 중요한 함수 중 하나입니다. 이 함수는 사용자로부터 입력된 데이터를 웹페이지에 출력하기 전에 HTML 특수 문자를 이스케이프(escape)하여 안전하게 표시하는 역할을 합니다.

HTML 이스케이프는 사용자가 입력한 데이터 중에서 HTML 태그나 JavaScript 코드 등을 해석하지 않고 일반 텍스트로 처리하도록 하는 것을 의미합니다. 이렇게 하면 악의적인 사용자가 웹사이트에 악용할 수 있는 보안 취약점을 방지하고, 웹페이지에서 예기치 않은 동작을 방지할 수 있습니다.

예를 들어, 사용자로부터 입력받은 코멘트나 게시물 내용을 웹페이지에 표시할 때, esc_html 함수를 사용하면 다음과 같은 이점이 있습니다:

크로스 사이트 스크립팅(Cross-Site Scripting, XSS) 공격 방지: 악의적인 사용자가 스크립트를 삽입하여 웹페이지를 공격하는 것을 방지합니다.
데이터의 정확한 표시: 특수 문자나 HTML 태그가 포함된 데이터도 정확하게 표시되며, 웹페이지 렌더링에 문제를 일으키지 않습니다.

 

자 그래서 어떻게 해야하나 ? 

<span class="funnelmoa-product-widget-slider-apply-status-label"><?php echo esc_html($receipt_label)?></span>

이런식으로 echo 출력할때 출력할 변수를 esc_html() 로 감싸주면 됩니다.

url , attr 등등 

url 은 esc_url()로 감싸주시고

<th>학생명<img onclick="funnelmoa_my_claasroom_complete_sort_table(0)" src="<?php echo esc_url($sort_img_src)?>" alt="정렬 이미지"></th>

attr은(속성등) esc_attr()로 감싸주시면 됩니다

value="<?php echo esc_attr($user_buy_curriculum->order_id)?>"

주의할점은 출력되는 부분만 이스케이프 해주시면 됩니다!

'php 워드프레스 개발' 카테고리의 다른 글

문자인증 로직 변경  (1) 2024.02.15
간단하게 만들어본 마스킹처리 함수  (0) 2024.01.17
워드프레스 우커머스 관련 정보들  (1) 2023.11.02
api 연동중 에러  (4) 2023.10.11
curl error 28  (2) 2023.10.05