다모앙 근황 정보
다모앙 근황본문
인덱스도 넣고 실명인증도 도입하는등 여러가지가 진행중이라고 커뮤니티에서 들었습니다
보안 관련해서 KISA기준 문서들 보면서 점검한다고 바쁘다고 하는군요
들은바로는 옛날에 뽐뿌라는 커뮤니티가 그렇게 터진적이 있어서 (그건 그누보드 아니지만)
SQL 인젝션관련쪽 바꾼다고 해요 실명인증도 있고해서 더 신경쓰는걸까요?
바인드 쿼리안쓴거 되게 많을텐데 이거 아주 새로 만드는급 아닌가몰라요
물음표 쓴 저거요
prepared stmt 인데 장점이 보안도 있지만 DB 에서 쿼리 캐시도 되죠
며칠 전해들으니까 바꾸는쪽으로 가닥 잡히는군요
0
댓글 1개
sql 인젝션 문제 고치려면 그누보드의 모든 쿼리를 고쳐야 합니다.
이왕 바꾼다면 PDO로 교체하는게 좋겠지만 각잡고 한번에 빠르게 작업해야하고 나리야 빌더까지 전부 다 고쳐야하는 큰 작업이 될테죠.
https://kg-framework.github.io/kg/database/sql.html
위 링크처럼 named parameter를 사용한 mysqli 래퍼를 만들어 사용하면 PDO로 전환하지 않아도 비슷한 사용성은 낼 수 있죠. PDO로 전환하는 것에 비해 점진적으로 교체해나갈 수 있고요.
사실 이런 작업은 그누보드가 해왔어야했죠. 그누보드의 가장 고질적이고 치명적인 보안취약점인 sql injection 대부분의 문제를 해결할 수 있었을텐데요...
저거 구현하는데 필요한 코드는 100줄 정도 밖에 안 되는데요.
다모앙 디코를 어제 겨우 처음들어가봤지만 ... 상당수의 DB 인덱스를 조정한 것같고 그누보드와 나리야 빌더에서 성능이 떨어지는 쿼리들을 수정하신 것같네요.
영카트 걷어내는 작업도 진행되고있고요.
