개발자 도구등에서 input name / value 조작하는 문제 해결 방법이 있나요?
본문
예를 들어서 write 에서
<input type="hidden" name="ca_name" value="완료">
가 있다고 하면 name 과 value 값을 간단히 조작이 되고, 실제 DB에 입력되는 것 같던데요.
해결 방법이 있을까요?
답변 3
기본적으로 제공하는 기능은 없습니다만..
hidden으로 기본으로 들어가는 값이 있다면, 그 값을 적당한 해시 함수를 이용해서 다른 input 태그에 hidden으로 넣은 뒤, 서버에서 변조되었는지 체크하는 정도는 생각해볼만 할 것 같아요.
하지만 전자의 경우에는 그냥 세션에 넣어버리는 편이 더 좋을 수도 있겠네요.
완료라는 상태를 체크하는것을
한글이 아닌
숫자 문자의 조합등으로
변경하시는게 더 낫지 않을까 싶습니다.
name의 이름도 유추가 좀더 어려운 내용으로 한번꼬아 주는것도 좋은방법이고,
hidden값을 굳이 노출하지 않는 방법은
쿠키, 세션, 조합값등으로 처리하는게 더 나은방법입니다.
쿠키, 세션이 복잡하다면
장바구니의 기능과 유사하게
DB에 페이지 전환시의 상태들을 관리하는방법도 있습니다.
hidden으로 처리할 내용들은 화면에 들고 다니지 않는것이죠
입력값만 받고, 그외의 상태는 db로 상태를 관리하다가
완료시에 완료정보를 넣는 db의 다른 테이블로 저장하는게 가장 안정적인 방법입니다.
화면이란 제약에 국한되지 않으면서 다양한 관점을 현재 운영하시는 사이트의 특성과
조작하는 사람들이 접근하지 못하도록 대응하는것이 필요해 보입니다.
어떤 조건인 경우에 ca_name을 완료로 입력하는지 설명이 있었으면 좋을텐데요
스킨폴더에 write_update.skin.php 화일을 만들고 아래처럼 처리하면 가로채서 수정하지는 못할테죠
<?
sql_query("update $write_table set ca_name='완료' where wr_id='$wr_id' ");
?>
