글쓰기의 제목이나 첨부 파일명으로 해킹하려고 할때 필터링하는 함수 feat.XSS

function paramfilter($p){
    $noString=array("onmouse","onclick","ondbclick","onload","onunload","onerror","onresize","onscroll","onkeydown","onkeyup","onkeypress","alert","autofocus","onfocus");

    foreach($noString as $p){
        if(strpos(strtolower($p),$p)==true){
            $p="사용할수없는단어가포함돼있습니다";
        }
    }
    
    $p = strip_tags($p);
    $p = str_replace("@variable", "", $p);
    $p = str_replace("@@variable", "", $p);
    $p = str_replace("print", "", $p);
    $p = str_replace("or", "", $p);
    $p = str_replace("union", "", $p);
    $p = str_replace("and", "", $p);
    $p = str_replace("insert", "", $p);
    $p = str_replace("openrowset", "", $p);
    $p = str_replace("select", "", $p);
    $p = str_replace("set", "", $p);
    $p = preg_replace("/[#\+\-%@=\/\\\:;,\'\"\^`~\_|\!\?\*$#<>()\[\]\{\}]/i", "", $p);
    
    return $p;
}

 

글쓸때 제목에 이상한 문자를 사용해서 해킹을 시도하거나

 

파일명을 변경해서 해킹을 시도하거나 하는 경우에

 

PHP 서버단에서 제목이나 파일명을 필터링해주는 함수다.