?bo_table= 대신 $_REQUEST['bo_table'] 을 사용해도 괜찮을까요?
본문
board.php 에서는 저절로 bo_table 값이 쿼리스트링으로 붙기 때문에
상관이 없는데
직접 제작한 페이지에서
$board 배열을 받고 싶거든요.
근데
게시판 bo_table 값이 변동이 있다면 ?bo_table 로 사용하는게 맞지만,
오직 한 값만 사용되고, 사용되어야만 하거든요(조작 못하게...)
직접 페이지를 제작할 때,
_common.php 인클루드를 먼저 하는데
인클루드 전에
$_REQUEST['bo_table'] = 'test'; 를 선언하게 되면
url 에 ?bo_table=test 를 붙은 효과를 볼 수 있더라구요.
게다가 조작해도 가로채기 때문에 조작방지의 효과도 되구요.
근데 괜찮을까요?
$_REQUEST 값이 $_SERVER나 $_POST, $_GET 등과 같은
약간 좀 건드리면 안되는 듯한 변수처럼 보이고 해서
보안 상에 문제가 생기지 않을까요?
답변 4
문서 상단에
<?
include_once("./_common.php");
?>
하면 $_REQUEST 쓸 필요가 없음...
즉 common.php파일만 불러오면 $_REQUEST 쓸 필요가 없음...
<?
$_REQUEST['bo_table'] = 'test';
include_once("./_common.php");
?>
이렇게요.
commom을 불러오기 전에 request 를 사용했을 때,
발생되는 문제나 보안 상의 문제가 혹시나 있는지 궁금하네요..
음냐리님 말씀대로 common.php 파일을 불러오신다면
$bo_table로 사용하시면 될듯 합니다. ^^
<?
include_once("./_common.php");$bo_table = 'test';
?>
패킷스톰에서 이 부분을 이용한 해킹 코드를 본적이 있습니다.
차라리 다른 변수로 저장해서 사용하시는 편이 낫지 않을까라는 생각이 드네요