그누보드는 왜 필터링을 시키는 걸까요? ㅡㅡ;
본문
구글에 $_SERVER['DOCUMENT_ROOT'] 검색하면 검색결과 잘 보여주잖아요.
근데, 그누보드에 $_SERVER['DOCUMENT_ROOT'] 검색하면 대괄호 등 필터링 시켜서 검색이 안 되죠.
※ 필터링 되어 보이는 검색어: _SERVERDOCUMENT_ROOT
DB에 저장시킬 때 안전한 코드로 변형해서 저장시킨 후,
값 조회할 때도 안전한 코드로 변형해 검색시키면 될텐데...
왜 검색조차 안 되게 다 필터링을 시키는 걸까요? ㅡㅡ;;
보안 상 안전하게 하면서도 구글처럼 검색 잘 되게 하는 건 도처히 안 되는 걸까요?
답변 3
https://github.com/gnuboard/gnuboard5/blob/master/lib/common.lib.php#L3248
를 다음처럼 수정해볼수 있습니다.
function get_search_string($stx)
{
// $stx_pattern = array();
// $stx_pattern[] = '#\.*/+#';
// $stx_pattern[] = '#\\\*#';
// $stx_pattern[] = '#\.{2,}#';
// $stx_pattern[] = '#[/\'\"%=*\#\(\)\|\+\&\!\$~\{\}\[\]`;:\?\^\,]+#';
// $stx_replace = array();
// $stx_replace[] = '';
// $stx_replace[] = '';
// $stx_replace[] = '.';
// $stx_replace[] = '';
// $stx = preg_replace($stx_pattern, $stx_replace, $stx);
// return $stx;
return sql_real_escape_string($stx);
답변 감사합니다. 직접 테스트해보니, 검색어 입력창의 검색어가 아래처럼 따옴표 부분이 바뀌면서 검색결과는 뜨지 않네요. $_SERVER[\\'DOCUMENT_ROOT\\']
그렇긴 하지만 주석을 풀어야합니다. 악의적인 SQL 코드를 주입하여 데이터베이스를 공격하는 공격 방법 중 하나이며, 보안상 매우위험한 상태라고 볼수있습니다.
단서 감사합니다. 한번 연구를 해봐야 겠네요. 주말 잘 보내세요 ~~
$_SERVER[\\'DOCUMENT_ROOT\\'] 형태로 검색이 되지 않는 현상은
전체 검색이 시도된 결과 같습니다.
stx 검색어가 들어오면 common.php 에서 기본적으로 get_search_string 를 수행하는데
> https://github.com/gnuboard/gnuboard5/blob/master/common.php#L433
bbs/search.php 에서 다시한번 get_search_string 가 수행되어 발생되는 현상입니다.
> https://github.com/gnuboard/gnuboard5/blob/master/bbs/search.php#L15
게시판 내 단일검색 쪽에서는 발생하지 않는데
get_sql_search 함수 안에서의 stripslashes 사용으로 다시 정상화 되기 때문이며
> https://github.com/gnuboard/gnuboard5/blob/master/bbs/list.php#L41
> https://github.com/gnuboard/gnuboard5/blob/master/lib/common.lib.php#L686
이부분을 bbs/search.php 에 적용시키면 원하는 결과가 나옵니다.
$stx = strip_tags($stx);
//$stx = preg_replace('/[[:punct:]]/u', '', $stx); // 특수문자 제거
// $stx = get_search_string($stx); // 특수문자 제거
$stx = trim(stripslashes($stx));
SQL Injection 은 그것을 위해 제공되는 함수를 사용하는게 적절합니다.
https://www.php.net/manual/en/mysqli-stmt.bind-param
https://www.php.net/manual/en/pdostatement.bindcolumn.php
https://www.php.net/manual/en/pdostatement.bindparam.php
https://www.php.net/manual/en/pdostatement.bindvalue.php
보안상 위험하다고 하여 프로그램이 제 기능을 못하는건 별개의 문제이고
프로그램 혹은 솔루션 그 자체에 문제점이 있다고 볼수 있습니다.
기대도 안 했는데, 자세한 추가 설명 곁들인 답변 정말 감사합니다.
곧 토트넘 경기가 있어서 경기 보고 난 후, 테스트해보도록 할게요. ^^;
ps. 질게 답변 보고 항상 느끼는 건데, 배르만 님은 인공지능 같아요. ㅎ
방금 테스트 해보니 아주 잘 나오네요. 감사합니다.
토트넘 경기 기분좋게 관람할 수 있겠네요. ㅎㅎㅎ
$_SERVER['DOCUMENT_ROOT']와 같은 서버 변수를 필터링하는 것은 웹 애플리케이션 보안과 관련이 있습니다
특수기호 검색 사용할려면 풀면됩니다.
원치 않는 사람이 더많으니 사용하고자한다면 풀면됩니다.
그리고, 검색순위 부분은 기호에 대한 순위는 제외시키면 되지않을까요?
또한,
구글 검색 엔진이 $_SERVER['DOCUMENT_ROOT']와 같은 정보를 표시하는 경우도 있지만
일반적으로는 서버 변수나 민감한 정보를 웹 페이지에서 검색 가능하게 표시하는 것은 보안 측면에서 큰 위험을 초래할 수 있습니다.
실체값으로 DB에 저장시키고, 검색할 때도 실체값으로 풀어서 일치여부 조회하면 될 듯 한데...너무 막아놓은 것 같아서요. 코딩 관련 커뮤니티 홈페이지 만들기엔 너무 부적합한 형태라.....
보안 관련 사항은 매우 중요하며, 무엇보다 사용자 데이터를 안전하게 보호하기 위해 엄격히 따라야 합니다. ^^
네 그리고 디비에 실체값으로 저장 방법도 보안중 좋은방법이리고 생각합니다.
변수를 활용해 디비에 저장하고 또한 값을 검색하고자한다면 다음과 같이 정의 해볼수 있습니다.
// 저장하고
$documentRoot = $_SERVER['DOCUMENT_ROOT'];
$escapedDocumentRoot = mysqli_real_escape_string($conn, $documentRoot);
$sql = "INSERT INTO table name (document_root) VALUES ('$escapedDocumentRoot')";
mysqli_query($conn, $sql);
//검색하고
$searchDocumentRoot = $_POST['search_document_root'];
$escapedSearchDocumentRoot = mysqli_real_escape_string($conn, $searchDocumentRoot);
$sql = "SELECT * FROM table name WHERE document_root = '$escapedSearchDocumentRoot'";
$result = mysqli_query($conn, $sql);
옹프님이 신경써서 답변 자세히 해주셨는데, 채택 안 해드려 송구합니다.
배르만 님 답변이 그누보드 문제 해결에 좀 더 직접적이라... ^^;;
그런건 중요치 않습니다. 본인이 원하는 답에 주는게 맞습니다. 감사합니다. ^^
넓은 마음으로 이해해 주셔서 감사합니다.
소개 감사합니다. 오늘은 이걸 공부해봐야 겠네요.
