귀하는 로그인되어 있지 않습니다. 이대로 편집하면 귀하의 IP 주소가 편집 기록에 남게 됩니다.스팸 방지 검사입니다. 이것을 입력하지 마세요!== 보안 고려사항 == '''eval()''' 함수는 매우 강력한 기능을 제공하지만, 보안상 심각한 위험을 초래할 수 있다. 다음과 같은 보안 대책을 고려해야 한다: * 사용자 입력이나 외부 데이터를 직접 '''eval()'''에 전달하지 않는다. * 필요한 경우 샌드박스 환경(예: VM, Docker, 제한된 해석기)에서 실행한다. * 가능한 경우 '''eval()''' 대신 더 안전한 대체 방법을 사용한다. * 코드 실행 전 철저한 검증과 인코딩, 이스케이프 처리를 수행한다. * 운영 환경에서 실사용 전 보안 분석 및 침투 테스트를 진행한다. '''eval()'''을 통한 코드 인젝션은 [[OWASP]] 등 각종 보안 가이드라인에서 중요한 취약점으로 언급되고 있다. 특히 웹 애플리케이션에서 자바스크립트나 PHP를 사용할 때는, 입력 검증 없이 문자열을 실행하는 행위가 해커에게 사이트 제어 권한을 넘기는 것과 다름없을 수 있으므로 반드시 주의해야 한다. === 안전한 대체 방법 === {| class="wikitable" |- ! 용도 !! 안전한 대체 방법 |- | JSON 파싱 || JSON.parse(), json.loads() 등 언어별 JSON 파서 사용 |- | 수식 계산 || 수식 파서(예: math.js, 파이썬의 '''ast.literal_eval''' 등) 라이브러리 사용 |- | 템플릿 처리 || 템플릿 엔진(Mustache, Handlebars, Jinja2 등) 사용 |- | 설정 파일 || YAML, TOML 등의 설정 파일 형식 사용 |- | 동적 코드 로딩 || 안전한 플러그인 시스템 혹은 사전 컴파일된 모듈 이용 |} 문자열을 동적으로 해석하여 기능을 추가하는 과정을 반드시 거쳐야 한다면, 내부적으로 사용하는 DSL(Domain-Specific Language)을 정의하거나 별도의 파서(Parser)를 작성하는 방법도 고려할 수 있다. 이렇게 하면 외부 입력을 완전히 제어할 수 있고, 일반적인 프로그래밍 언어보다 더 제한된 명령어만 사용 가능하게 설정하여 안전성을 높일 수 있다. 편집 요약 가온 위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 가온 위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요. 또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요! 취소 편집 도움말 (새 창에서 열림)