회원가입 관련 token 부분에 관해 질문드려요 정보
회원가입 관련 token 부분에 관해 질문드려요본문
./bbs/register_form.php
// 불법접근을 막도록 토큰생성
$token = md5(uniqid(rand(), true));
set_session("ss_token", $token);
./skin/member/basic/register_form.skin.php
<!-- <input type=hidden name=token value="<?=$token?>"> -->
// 보안인증관련 코드로 반드시 포함되어야 합니다.
set_cookie("<?=md5($token)?>", "<?=base64_encode($token)?>", 1, "<?=$g4['cookie_domain']?>");
./bbs/register_form_update.php
/*
// 081022 : CSRF 에서 토큰 비교는 의미 없음
// 세션에 저장된 토큰과 폼값으로 넘어온 토큰을 비교하여 틀리면 에러
if ($_POST["token"] && get_session("ss_token") == $_POST["token"])
{
// 이전 폼 전송 바로전에 만들어진 쿠키가 없다면 에러
//if (!get_cookie($_POST["token"])) alert_close("쿠키 에러");
// 맞으면 세션과 쿠키를 지워 다시 입력폼을 통해서 들어오도록 한다.
set_session("ss_token", "");
set_cookie($_POST["token"], 0, 0);
}
else
{
alert_close("토큰 에러");
exit;
}
*/
위처럼 되어 있는데,
회원가입 과정중 생성되는 token관련 쿠키와 세션은 불필요한 요소인건가요?
그럼 아래의 두 파일에서 token 관련 쿠키,세션 생성부분을 주석처리 해도 괜찮은건가요?
./bbs/register_form.php
./skin/member/basic/register_form.skin.php
감사합니다.
// 불법접근을 막도록 토큰생성
$token = md5(uniqid(rand(), true));
set_session("ss_token", $token);
./skin/member/basic/register_form.skin.php
<!-- <input type=hidden name=token value="<?=$token?>"> -->
// 보안인증관련 코드로 반드시 포함되어야 합니다.
set_cookie("<?=md5($token)?>", "<?=base64_encode($token)?>", 1, "<?=$g4['cookie_domain']?>");
./bbs/register_form_update.php
/*
// 081022 : CSRF 에서 토큰 비교는 의미 없음
// 세션에 저장된 토큰과 폼값으로 넘어온 토큰을 비교하여 틀리면 에러
if ($_POST["token"] && get_session("ss_token") == $_POST["token"])
{
// 이전 폼 전송 바로전에 만들어진 쿠키가 없다면 에러
//if (!get_cookie($_POST["token"])) alert_close("쿠키 에러");
// 맞으면 세션과 쿠키를 지워 다시 입력폼을 통해서 들어오도록 한다.
set_session("ss_token", "");
set_cookie($_POST["token"], 0, 0);
}
else
{
alert_close("토큰 에러");
exit;
}
*/
위처럼 되어 있는데,
회원가입 과정중 생성되는 token관련 쿠키와 세션은 불필요한 요소인건가요?
그럼 아래의 두 파일에서 token 관련 쿠키,세션 생성부분을 주석처리 해도 괜찮은건가요?
./bbs/register_form.php
./skin/member/basic/register_form.skin.php
감사합니다.
댓글 전체