개발 Q&A

제목 질문 드릴게요!
글쓴이 oursong 작성시각 2013/06/18 16:52:15
댓글 : 4 추천 : 0 스크랩 : 0 조회수 : 14957   RSS
View없이 홈페이지를 만들고 있습니다.
기업용 홈페이지로 테스트삼아 만들고있는데요,
혹시 View없이 만들어버리면 알려진 보안상 문제가 없는지 궁금합니다. 
 다음글 tank_auth에서 flashdata 세션 질문이 있... (1)
 이전글 mb_convert_encoding 질문입니다 (1)

댓글

변종원(웅파) / 2013/06/18 16:55:51 / 추천 0
일단 이동합니다.

뷰가 없고 자바스크립트 라이브러리에서 ajax나 그외 방식으로 화면을 구성하겠죠?

js lib를 가져가서 외부에서 동일한 insert, update를 할 수도 있습니다.

csrf에 대한 처리가 되어 있다면 어느 정도 안심(?)은 할 수 있습니다.

최우선으로 js lib와 통신하는 php프로그램이 신뢰할 수 있는지(데이터를 암호화한다거나 특정 패킷을 보내 검증한다거나)가
중요하고 db insert, update 부분에 세션에 대한 체크를 컨트롤러단, 모델단에서 2중으로 하는게 필요합니다.

어쨌든 ci의 csrf 방지기능을 사용하고 secure lib를 이용하면 어느정도는 피할 수 있습니다.
케이든 / 2013/06/18 16:58:16 / 추천 0
 추후 정신 건강에 해로운거 말곤 없을 듯합니다 :)
한대승(불의회상) / 2013/06/18 17:02:02 / 추천 0
없습니다.

관리가 힘들어 지겠죠 ^^
risa / 2013/06/18 19:57:01 / 추천 0
 MC 패턴이로군요!

간단한 수준의 리턴 수준이라면 VIEW를 빼놓고 처리도 하긴 합니다만...

유지보수만 생각해도 그냥 VIEW 씁니다.

대표적으로..

echo ' ';
이 안에 <input type=" ">....

이거 안에 다시
<input value=" '$val' " 

다시 안에..

다시 안에...

싱글쿼터 더블쿼터 열었다 닫았다......

그러다가 익숙한 에러메세지
'너님 씬텍스 에러임여~'

크아아악!!!


저게 신경쓰여서라도 컨트롤러에서 바로 출력하고 싶지 않더군요.