union, injection 관련질문입니다.
본문
그누보드 외부에서 아래와 같은 코드로 JSON값을 받으려고 합니다.
_common.php를 include해서 POST로 받은 아이디로 그누보드 함수인 get_member로 읽어오는데요.
1. 이런 방식으로 하면 union, injection 문제에 대한 그누보드의 보안기능에 알맞은 것인지,
2. 아니면 common.php에 있는 union, injection 관련부분을 복사해서 아래파일에도 적용을 해야하는 것인지 궁금합니다.
3. 또한, 더 보완해야 하는 취약점이 있는지 도움말씀 부탁합니다.
<?php
error_reporting(E_ALL);
ini_set('display_errors',1);
$mbid=isset($_POST['mbid']) ? $_POST['mbid'] : '';
if ($mbid !="" ){
include_once('./_common.php');
$mb_id = trim($mbid);
$mb = get_member($mb_id);
$android = strpos($_SERVER['HTTP_USER_AGENT'], "Android");
header('Content-Type: application/json; charset=utf8');
$json = json_encode(array("data"=>$mb), JSON_PRETTY_PRINT+JSON_UNESCAPED_UNICODE);
echo $json;
}
?>
답변 1
1, 2, 일반적으로 _common.php 파일은
게시판 루트상에 common.php 파일을 불러오는것이기 때문에
include 해서 _common.php 를 부르시면 common.php 를 불러오시는것입니다.
해당 다운로드에 가시면 계속적으로 보안등 패치파일이 올라옵니다
3.다운로드에 패치올라오면 확인하시고 필요한 부분 업데이트 하시면 괜찮으실듯 합니다.
중소기업 홈페이지이시면 https://www.boho.or.kr/webprotect/webVulnerability.do 도 확인해서 점검해 보세요
자세한 설명 고맙습니다. 새해 복 많이 받으세요. ^^
답변을 작성하시기 전에 로그인 해주세요.
