제안
이번 패치에 모든 embed 태그를 관리자에 한해 비활성화 시키도록 하셨는데, 차라리 좀 번거럽더라도 모든 form들에 특정토큰을 사용해 체크하는건 어떨까요? 예를들어서 유저가 form을 볼때마다 임의의 랜덤한 토큰을 생성하고 유저가 form을 submit 할때 해당 토큰값을 체크하는 식으로... 예를 들어
<?
session_start();
$token = md5(microtime() . mt_rand(0, 1000) . mt_rand(0, 1000) . mt_rand(0, 1000));
$_SESSION['token'] = $token;
?>
<form action="form.php" method="post">
<input type="hidden" name="token" value="<? echo $token; ?>" />
</form>
하고 update.php 에서
<?
if ($_POST['token'] != $_SESSION['token']) {
die('잘못된 토큰값');
}
?>
뭐 대충 이런식으로 말이죠. 임시적인 토큰값은 DB에다 생성하면 더 좋고요.
???
<?
session_start();
$token = md5(microtime() . mt_rand(0, 1000) . mt_rand(0, 1000) . mt_rand(0, 1000));
$_SESSION['token'] = $token;
?>
<form action="form.php" method="post">
<input type="hidden" name="token" value="<? echo $token; ?>" />
</form>
하고 update.php 에서
<?
if ($_POST['token'] != $_SESSION['token']) {
die('잘못된 토큰값');
}
?>
뭐 대충 이런식으로 말이죠. 임시적인 토큰값은 DB에다 생성하면 더 좋고요.
???
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인