[보안]회원찾기 프로그램등에서 개인정보 유출문제 정보
[보안]회원찾기 프로그램등에서 개인정보 유출문제본문
사이트마다 차이는 있겠지만 컨텐츠 특성상 휴대전화, 일반전화,주소 등등이
유출이되면서 심각한 분쟁으로까지 가고 있습니다.
회원정보와 관련된 플러그인등에서 예: 친구,쪽지관련 플러그인 등에서 회원찾기용 검색
프로그램을 이용하여 필요한 데이타 추출용 플그램을 만들후 돌려서 빼낸후에 악용하는
사례가 발생하고 있습니다.
무한대입 검색을 막는 방법은 아래 예제를 참고하여 미리 방지하실것을 권장합니다.
//원하는 필드를 무한 대입하여 개인정보를 추출함
if ($stx) {
$sql_search .= " and ( ";
switch ($sfl) {
case "mb_nick" :
$sql_search .= " ($sfl = '$stx') ";
break;
case "mb_id" :
$sql_search .= " ($sfl like '$stx%') ";
break;
default :
$sql_search .= " ($sfl like '$stx%') ";
break;
}
$sql_search .= " ) ";
}
//닉네임과 회원 아이디 외에는 검색 항목을 전혀 사용못하게 막음
if ($stx) {
$sql_search .= " and ( ";
switch ($sfl) {
case "mb_nick" :
$sql_search .= " ($sfl = '$stx') ";
break;
case "mb_id" :
$sql_search .= " ($sfl like '$stx%') ";
break;
}
$sql_search .= " ) ";
}
----------------------------------------------------------------------
위의 예제처럼 검색 필드가 지정이 안되어 있고 넘겨주는 필드명을 받는
아래의 검색 부분이 있다면 과감히 없애버려야 합니다.
default :
$sql_search .= " ($sfl like '$stx%') ";
break;
2