url변수를 사용하여 자동로그인하는 방법이 보안에 문제가 있을까요?
안녕하세요.
최근에 그누보드로 구축한 사이트가 있는데,
질문답변에 흥미로운 글을 발견했습니다.
질문답변 : url변수를 사용하여 자동로그인하게 할 수 있을까요?
http://sir.co.kr/bbs/board.php?bo_table=g4_qa&wr_id=102144
질문인 즉, http://도메인/bbs/board.php?bo_table=test&wr_id=12&mb_id=aaa&mb_password=1234 처럼 URL에 계정의 ID,PW를 붙여서 자동로그인을 하려면
베지터님 왈...
bbs/login_check.php의 4, 5번째 라인을
$mb_id = $_GET[mb_id];
$mb_password = $_GET[mb_password];
이렇게 $_POST ==> $_GET 으로 바꾼후
'http://도메인/bbs/login_check.php?mb_id=아이디&mb_password=암호' 이런식으로 하니까 되네요
이라고 합니다.. 저도 해봤는데 잘 되긴 하더군요.
그런데 궁금한 점 하나! 위와 같이 login_check.php의 $_POST를 $_GET으로 변경하면 보안 상의 문제가 없을지 궁금해서요..
혹시 아시는 분 계시면 답변주시면 고맙겠습니다.
즐거운 한 주 보내세요~~
최근에 그누보드로 구축한 사이트가 있는데,
질문답변에 흥미로운 글을 발견했습니다.
질문답변 : url변수를 사용하여 자동로그인하게 할 수 있을까요?
http://sir.co.kr/bbs/board.php?bo_table=g4_qa&wr_id=102144
질문인 즉, http://도메인/bbs/board.php?bo_table=test&wr_id=12&mb_id=aaa&mb_password=1234 처럼 URL에 계정의 ID,PW를 붙여서 자동로그인을 하려면
베지터님 왈...
bbs/login_check.php의 4, 5번째 라인을
$mb_id = $_GET[mb_id];
$mb_password = $_GET[mb_password];
이렇게 $_POST ==> $_GET 으로 바꾼후
'http://도메인/bbs/login_check.php?mb_id=아이디&mb_password=암호' 이런식으로 하니까 되네요
이라고 합니다.. 저도 해봤는데 잘 되긴 하더군요.
그런데 궁금한 점 하나! 위와 같이 login_check.php의 $_POST를 $_GET으로 변경하면 보안 상의 문제가 없을지 궁금해서요..
혹시 아시는 분 계시면 답변주시면 고맙겠습니다.
즐거운 한 주 보내세요~~
|
댓글을 작성하시려면 로그인이 필요합니다.
댓글 2개
그 사이트의 경우, 특정 회원들만 접근 가능한 사이트를 만들면서
email 로 출석 참석 여부를 하기위해(고령자 많음^^;; 원클릭으로 모든것이 해결되게 하기 위해)
어쩔 수 없이 get 방식으로 했었습니다.
절때 하지 말아야할 방법중 하나로 알고 있습니다~^^;;
팀장님이랑 많이 고민했었죠 ㅋ