코드를 심어놓은 곳에 관리자만 접근하기를 대기하는 경우,

관리자가 행하여질 수 있는 모든 업데이트 폼과 업데이트간에

디비와 토큰과 회원이 알 수 없는 디비의 값을 md5로 생성하여 보내면 되지 않을까요.

저는 회원 가입일의 특정자리수의 값과 보낼 값과 아이디값과 여러값을 조합하여,

업데이트로 날리고 받는데서 값을 다시 재조합하여 이전 조합값과 재조한값과 체크를 합니다만..

>>ㅑ~~ 모르겠어..
고수의 말은 외계어...ㅠ.ㅠ

관리자는 폼과 업데이트를 체크하지 않는다는 것 입니다.

관리자의 권한을 악용방지를 위해 다음과 같이 폼과 업데이트 각각 처리를 해주면 간단히 될 듯 싶습니다.

게시판 수정과 업데이트의 예제입니다.



form


<?
// key 생성
$key1 = $bo_table;
$key2 = substr($member['mb_email'],2,6);
$key3 = substr($member['mb_datetime'],10,16);
$mkey = substr(md5($key1.$key2.$key3),0,10);
?>

<input type=hidden name="mkey" value="<?=$mkey?>">





update

<?
// key 생성
$key1 = $_POST['bo_table'];
$key2 = substr($member['mb_email'],2,6);
$key3 = substr($member['mb_datetime'],10,16);
$ukey = substr(md5($key1.$key2.$key3),0,10);


// 키값 체크
if ($_POST['mkey'] != $ukey) {

alert("잘못된 접근입니다.");

}
?>

애드민이 되고 나서 한번더 관리나 뭐를 위해선 중앙 페이지를 거치게 하고
중앙 페이지에서 한번더.. 비번 및 여러가지를 묻는다면?
원시적인 방법인거 같네요 ㅡ.ㅡㅋ
에휴 몰라~ 머리 아퐁... 36시간 안자고 헬렐레중인.. 1인

[http://www.sir.co.kr/img/emoticon/md77.gif]

관리자의 접속 IP를 지정해서 IP가 다르다면 그러한 체크를 해주는 것도 좋을 듯 싶네요.

관리자가 집에서만 하는게 아닐수도 있구...

일단 CSRF는 관리자가 로그인한곳에서 권한을 변경하는것이니...

소용이 없을것 같네요;