이번에 다운받은 걸 확인해 보니 여전히 문제의 경우가 있는데요... form 전송을 받는 곳에 토큰을 확인하는 절차가 보이지 않습니다.(member_form_update.php를 살펴보았습니다) 그리고 이런 경우도 생각해 볼 수 있습니다. < img src="member_form_update.php?w=u&_POST[mb_id]=아이디&_POST[mb_level]=10...." width=0 height=0 />

common.php 상에서 이런 문제의 경우도 있으므로 extract($_GET);함수를 불러오기 전에 if(isset($_GET['_POST'])) unset($_GET['_POST']);와 같이 차단을 미리하는 게 좋을 듯 합니다. 마찬가지로 if(isset($_GET['GLOBALS'])) unset($_GET['GLOBALS']); 도 더하구요.

letsgolee님 감사합니다. ^^

알려주신 내용을 분석하여 오늘 패치해 놓았습니다. 감사합니다.