제목 | 질문 드릴게요! | ||
---|---|---|---|
글쓴이 | oursong | 작성시각 | 2013/06/18 16:52:15 |
|
|||
View없이 홈페이지를 만들고 있습니다. 기업용 홈페이지로 테스트삼아 만들고있는데요, 혹시 View없이 만들어버리면 알려진 보안상 문제가 없는지 궁금합니다. |
|||
다음글 | tank_auth에서 flashdata 세션 질문이 있... (1) | ||
이전글 | mb_convert_encoding 질문입니다 (1) | ||
변종원(웅파)
/
2013/06/18 16:55:51 /
추천
0
|
케이든
/
2013/06/18 16:58:16 /
추천
0
추후 정신 건강에 해로운거 말곤 없을 듯합니다 :)
|
한대승(불의회상)
/
2013/06/18 17:02:02 /
추천
0
없습니다.
관리가 힘들어 지겠죠 ^^ |
risa
/
2013/06/18 19:57:01 /
추천
0
MC 패턴이로군요!
간단한 수준의 리턴 수준이라면 VIEW를 빼놓고 처리도 하긴 합니다만... 유지보수만 생각해도 그냥 VIEW 씁니다. 대표적으로.. echo ' '; 이 안에 <input type=" ">.... 이거 안에 다시 <input value=" '$val' " 다시 안에.. 다시 안에... 싱글쿼터 더블쿼터 열었다 닫았다...... 그러다가 익숙한 에러메세지 '너님 씬텍스 에러임여~' 크아아악!!! 저게 신경쓰여서라도 컨트롤러에서 바로 출력하고 싶지 않더군요. |
뷰가 없고 자바스크립트 라이브러리에서 ajax나 그외 방식으로 화면을 구성하겠죠?
js lib를 가져가서 외부에서 동일한 insert, update를 할 수도 있습니다.
csrf에 대한 처리가 되어 있다면 어느 정도 안심(?)은 할 수 있습니다.
최우선으로 js lib와 통신하는 php프로그램이 신뢰할 수 있는지(데이터를 암호화한다거나 특정 패킷을 보내 검증한다거나)가
중요하고 db insert, update 부분에 세션에 대한 체크를 컨트롤러단, 모델단에서 2중으로 하는게 필요합니다.
어쨌든 ci의 csrf 방지기능을 사용하고 secure lib를 이용하면 어느정도는 피할 수 있습니다.