폼값에서 히든값을 완전히 감추게 하는방법은...?
안녕하세요.
현재 sms 보내기 작업을 하고 있습니다만 뚜렷한 꽁수가 생각안나서 질문해봅니다.
제 웹사이트에서 회원들에게 sms를 보내게 하려는데..
그 업체 아디와 패스워드는 제껏입니다. 모든 회원이 하나의 아디와 패스워드로 보내게 되는것입니다.
그럼 보내는 회원들은 제아디와 패스워드로 sms를 보내게 되는것인데 글캐 되면 다른 작업자는
폼만 만들어서 다른곳에서도 보낼수 있습니다. 소스 보기 하면 hidden값에 제아디와 패스가 다 나오기 때문이죠.
숨길 꽁수나 팁은 없을까여??
수고하세요~
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 9개
소스파일이 첨부되어야 할 것 같군요.
ID/PW가 소스보기에서 누출된다는 것은,
현재 가동시킨 소스파일을 봐야 답변을 유추할 수 있을 겁니다.
====================================================
과정을 유추할 수 있는 근거가 아무것도 없는 상태에서 OO를 했는데 정보가 누출된다.
====================================================
답변을 해 주실 분들이 처음부터 소스파일을 새롭게 만들어드려야 할까요?
그건 아니라고 봅니다.
만약 그러한 것을 원하셨다면 '제작의뢰'란으로 본 게시물을 옮기셔야 할 것 같군요.
내용은 간단한것입니다. 즉 (가상으로 적는다면) sms보내기 페이지에서 소스 보기를 하면
<input type="hidden" name="username" value="webguy">
<input type="hidden" name="password" value="web_pass">
<input type="hidden" name="returnurl" value="http://www.webguy.org/love/sms/sms.php">
이렇게 하면 http://www.webguy.org/love/sms/sms.php 페이지에 hidden값으로 webguy와 web_pass값을 준다는것을
사용자는 소스보기로 알수 있습니다. 그러면 사용자는 다른 페이지에 위와같이 코드를 적용하면
그대로 sms를 사용하게 되니까 저는 사용자가 소스보기해도 username과 password를 안보여주기를
원하는겁니다.
제가 설명이 너무 부족했나봐요..
패스워드는 type = "password"로 넘겨야 하지 않을까요?
패스워드 폼을 굳이 hidden으로 넘길 필요가 있을까라는 생각을 가져 봅니다.
<input type="password" name="password" value="web_pass">
가장 중요한 것은 미리 유추할 수 있는 상황이라 할지라도,
직접 수행하는 과정에서 그 문제점을 하나씩 제거해 가는 것이리라 여겨집니다만...
그리고 추가 코멘트에서는 method에 대한 언급이 없지만,
form name="거시기머시기" method="post" 와 같은 형태로 post방식으로 넘기셨겠지요?
이미 알고 계시는 내용이겠지만 method에 대한 아주 간략한 링크입니다.
http://search.empas.com/search/all.html?s=&f=&k=&z=A&q=method+get%B0%FA+post%C0%C7+%C2%F7%C0%CC%C1%A1
꽁수랄까? 값을 넘겨받는 페이지에서는 id, pass 넣지말구요 sms_ok.php라는 페이지를 만들어서 거기에는 처리만 하는 페이지로 만드는겁니다. 그럼 sms프로그램 처리후 다른페이지로 후딱 넘어가겠죠...그럼 그페이지를 열어서 다른사람들이 보는건 못할것 같은데요.
맞는 답변인가요?
번호 메세지등등 그런것을 받으면서, sms_ok.php페이지에서는 아디와 패스를 부여해, sms 제공하는 사이트 페이지로 넘겨보았습니다만..
순간적으로라도 get방식으로 넘어가서 그러는지 후딱 넘어가긴 하지만 찰나 esc 키를
누르면..모든 정보가 주소에 보이더군요..흠냐..무튼 좀더 노력해보겠슴다..^^
그러나 어쩔수 없는것이 sms연동회사에서 정보를 받을때 그렇게 받는것이기 때문에 이외에 방법으로 하시려면 그 회사에 문의를 하시는 수밖에 없을듯 하네요....아니면 회사를 바꾸시던지요...ㅎㅎ
그누의 goto_url 함수를 써서 변수들을 그냥 sms 연동회사로 넘기는것을 했었거든요.
sms_ok.php 페이지에서 자동으로 post 방식으로 바로 넘어가게 하는것은 몰라서 못햇습니다.그런게 있나
여?
sms_ok는 단독으로 실행이 불가하게
if (!defined("_GNUBOARD_")) exit; // 개별 페이지 접근 불가
같은것을 넣으면 좋을듯 하네요..자세한건 해봐야 알듯...효효효