도도의 초록누리

[PHP] function - UTF8 (한글 완벽 지원 함수 구현)

기존에 php의 iconv 함수를 사용하면 완벽한 한글 지원 함수를 구현하기에는 여러가지 문제가 발생된다.

그림 1. iconv 함수로만 처리했을 때의 문제, 도도(Dodo)

문자열 처리가 사람이 보는 것과는 달리 이러한 문제도 발생될 수가 있다.

문제를 해결할 수 있는 함수가 있다.

1. convertToUTF8 ( %s ) 구현하기

그림 1-1. iconv 함수로 기존 UTF8 문자열 감지

제어문과 iconv 함수를 활용하여 사람이 식별하지 못하는 문자열을 감지할 수 있다.

euc-kr로 변환해도 되는 경우를 구분하면 그림 1과 같은 문제를 해결할 수 있다.

XSS에 대해서 소개한다. 스크립트 변조에 관한 것이다.

너무 어렵게만 생각할 필요가 전혀 없다.

1. 코드로 살펴보는 XSS Filiter

XSS 필터에 대해서 간단하게 이해하는 방법이다.

class Security{

/*
 * XSS filter
 *
 * This was built from numerous sources
 * (thanks all, sorry I didn't track to credit you)
 *
 * It was tested against *most* exploits here: http://ha.ckers.org/xss.html
 * WARNING: Some weren't tested!!!
 * Those include the Actionscript and SSI samples, or any newer than Jan 2011
 *
 *
 * TO-DO: compare to SymphonyCMS filter:
 * https://github.com/symphonycms/xssfilter/blob/master/extension.driver.php
 * (Symphony's is probably faster than my hack)
 */

        public function xss_clean($data)
        {
               // Fix &entity\n;
              $data = str_replace(array('&','<','>'), array('&','<','>'), $data);
              $data = preg_replace('/(&#*\w+)[\x00-\x20]+;/u', '$1;', $data);
              $data = preg_replace('/(&#x*[0-9A-F]+);*/iu', '$1;', $data);
              $data = html_entity_decode($data, ENT_COMPAT, 'UTF-8');

              // Remove any attribute starting with "on" or xmlns
              $data = preg_replace('#(<[^>]+?[\x00-\x20"\'])(?:on|xmlns)[^>]*+>#iu', '$1>', $data);

              // Remove javascript: and vbscript: protocols
              $data = preg_replace('#([a-z]*)[\x00-\x20]*=[\x00-\x20]*([`\'"]*)[\x00-\x20]*j[\x00-\x20]*a[\x00-\x20]*v[\x00-\x20]*a[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2nojavascript...', $data);

             $data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*v[\x00-\x20]*b[\x00-\x20]*s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:#iu', '$1=$2novbscript...', $data);

             $data = preg_replace('#([a-z]*)[\x00-\x20]*=([\'"]*)[\x00-\x20]*-moz-binding[\x00-\x20]*:#u', '$1=$2nomozbinding...', $data);

            // Only works in IE: <span style="width: expression(alert('Ping!'));"></span>
            $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?expression[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
            $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?behaviour[\x00-\x20]*\([^>]*+>#i', '$1>', $data);
            $data = preg_replace('#(<[^>]+?)style[\x00-\x20]*=[\x00-\x20]*[`\'"]*.*?s[\x00-\x20]*c[\x00-\x20]*r[\x00-\x20]*i[\x00-\x20]*p[\x00-\x20]*t[\x00-\x20]*:*[^>]*+>#iu', '$1>', $data);

            // Remove namespaced elements (we do not need them)
            $data = preg_replace('#</*\w+:\w[^>]*+>#i', '', $data);

            do
            {
                 // Remove really unwanted tags
                 $old_data = $data;
                 $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
            }

            while ($old_data !== $data);

           // we are done...
           return $data;
     }

}

[첨부(Attachment)]

xssFilter.7z

XSS 공격이라는 것은 일반 문자를 UTF8로 변조해서 "<", ">", "applet" 등으로 접근하는 방법도 있을 수 있고. 스크립트 내에 공격하는 기법이다.

2. 참고자료(Reference)

1. XSS Filiter, https://github.com/symphonycms/xssfilter, Accessed by 2018-08-04

이번에 소개할 것은 xFrame 기반의 공격을 방지하는 방법에 대해서 소개하겠다.

1. 클릭 재킹(Clickjacking)

결과적으로 웹 브라우저가 가지고 있는 취약점을 막는 것이다.

2. php코드에 클릭 재킹 피하기 코드 삽입하기

이런 형태로 삽입할 수 있다.

3. 참고자료(Reference)

1. Clickjacking, Last Modified 07-27-2018, 08:17 (UTC)., Accessed by 2018-07-31, https://en.wikipedia.org/wiki/Clickjacking, Wikipedia.

2. X-Frame-Options SAMEORIGIN blocking iframe on my domain, Last Modified, Accessed by 2018-07-31, https://stackoverflow.com/questions/12182768/x-frame-options-sameorigin-blocking-iframe-on-my-domain, Stack Overflow

3. header, Last Modified, Accessed by 2018-07-31, http://php.net/manual/en/function.header-remove.php, PHP.net

4. X-Frame-Options, Last Modified, Accessed by 2018-07-31, https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options, MDN(Developer Mozila)

[PHP] PHP 5.6 - 시큐어 코딩하기(SQL Injection)

실제 작성한 코드를 통해서 소개한다.

외부의 사용자가 스크립트 언어를 삽입하여 SQL 문장으로 공격하는 문제 등이 존재할 수 있다.

이를 막는 방법에 대해서 소개한다.

1. SQL 문장 변형이 일어나기 쉬운 코드

그림 1-1. 문자열로 생성하는 SQL 문장

이런 코드로 프로그래밍을 작성하면 다음과 같은 일들이 생길 수 있다.

그림 1-2. SQL 문장으로 공격하기

예를 들어서 화면을 아래처럼 꾸몄다고 가정하자.

그림 1-3. UI - View.php

예를 들면, 그림 1-3에서 {id}의 내용에 불법적인 스크립트 등을 삽입하여 공격할 수가 있다.

이러한 것을 예방하려면, 아래의 코드처럼 개선하면 좋을 것으로 보인다.

2. 참고자료(Reference)

1. SQL Injection, PHP.NET, http://php.net/manual/en/security.database.sql-injection.php, Accessed by 2018-07-31

한글화를 다시 수작업으로 재진행하였습니다.

이전 한글화 파일이 최신 2.32Rc 형태가 아니어서 새로 2.32 형태로 작업하였습니다.

1. Feng Office 2.32Rc 1 (Community Edition)

[도도(dodo) / 한글화 작업 수행] 2.32 RC1

fengoffice.vol1.egg

fengoffice.vol2.egg

License(라이센스): GNU/GPL 3 license.

공식 프로젝트 사이트: http://fengoffice.com/

소스포지 사이트: https://sourceforge.net/projects/opengoo/