[G5] 올바른 방법으로 이용해 주십시오. > 기술자료 | 해피정닷컴

[G5] 올바른 방법으로 이용해 주십시오. > 기술자료

본문 바로가기

사이트 내 전체검색

[G5] 올바른 방법으로 이용해 주십시오. > 기술자료

그누보드 [G5] 올바른 방법으로 이용해 주십시오.

페이지 정보


본문

업그레이드 되면서 보안 강화차원에서 새로운 코드가 추가됩니다.



1. 그누보드5 / skin / board / 폴더 / write.skin.php

1-1. 수정1
    <form name="fwrite" id="fwrite" action="<?php echo $action_url ?>" onsubmit="return fwrite_submit(this);" method="post" enctype="multipart/form-data" autocomplete="off" style="width:<?php echo $width; ?>">
    <input type="hidden" name="w" value="<?php echo $w ?>">

에서 아래와 같이 uid 관련 코드가 없으면 추가하세요 

    <form name="fwrite" id="fwrite" action="<?php echo $action_url ?>" onsubmit="return fwrite_submit(this);" method="post" enctype="multipart/form-data" autocomplete="off" style="width:<?php echo $width; ?>">
    <input type="hidden" name="uid" value="<?php echo get_uniqid(); ?>">
    <input type="hidden" name="w" value="<?php echo $w ?>">


1-2. 수정2
            <input type="submit" value="작성완료" id="btn_submit" accesskey="s" class="btn_submit">
5.2.3 버전에서 게시글 CSRF 취약점 관련 수정되면서 type="sumit" 가 아닌 경우엔 오류 발생
type="button" 또는 type="image" 등을 사용하고자 하는 경우엔 http://sir.kr/g5_tip/4837 참고



2. 그누보드5 / skin / board / 폴더 / view_comment.skin.php

2-1. 수정1
    <form name="fviewcomment" action="<?php echo $comment_action_url; ?>" onsubmit="return fviewcomment_submit(this);" method="post" autocomplete="off">
    <input type="hidden" name="uid" value="<?php echo get_uniqid(); ?>">
   <input type="hidden" name="w" value="<?php echo $w ?>" id="w">

에서 아래와 같이 uid 관련 코드가 없으면 추가하세요 

    <form name="fviewcomment" action="<?php echo $comment_action_url; ?>" onsubmit="return fviewcomment_submit(this);" method="post" autocomplete="off">
   <input type="hidden" name="w" value="<?php echo $w ?>" id="w">


2-2. 수정2
    <?php if($is_guest) echo chk_captcha_js();  ?>

의 내용이 추가

    <?php if($is_guest) echo chk_captcha_js();  ?>

    set_comment_token(f);


2-3. 수정3
            $query_string = str_replace("&", "&amp;", $_SERVER['QUERY_STRING']);

의 내용이 보이면 아래의 것으로 변경하세요. 

            $query_string = clean_query_string($_SERVER['QUERY_STRING']);


2-4. 수정4
            $query_string = clean_query_string($_SERVER['QUERY_STRING']);

            if($w == 'cu') {
                $sql = " select wr_id, wr_content from $write_table where wr_id = '$c_id' and wr_is_comment = '1' ";
                $cmt = sql_fetch($sql);
                $c_wr_content = $cmt['wr_content'];

와 같이 코드가 보이면 아래처럼 변경하세요. 

            $query_string = clean_query_string($_SERVER['QUERY_STRING']);

            if($w == 'cu') {
                $sql = " select wr_id, wr_content, mb_id from $write_table where wr_id = '$c_id' and wr_is_comment = '1' ";
                $cmt = sql_fetch($sql);
                if (!($is_admin || ($member['mb_id'] == $cmt['mb_id'] && $cmt['mb_id'])))
                    $cmt['wr_content'] = '';
                $c_wr_content = $cmt['wr_content'];



3. jquery 중복 사용
동일 또는 다른 버전의 jquery.min.js 이 중복으로 사용되면 발생합니다.
소스보기에서 중복으로 jquery 가 호출된것은 아닌지 확인해보세요

예를 들면 이런식으로
<script src="/js/jquery-1.8.3.min.js"></script>
...
<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.6.4/jquery.min.js"></script>



4. 그누보드5  ->  관리자  ->  환경설정  ->  세션 삭제
위의 작업을 진행한후 익스플로러, 크롬, 파이어폭스, 사파리 등 다양한 브라우저로 테스트를 하세요 
일부 브라우저는 캐시/임시파일 등으로 인해서 변경된것을 인지 못하는 경우가 있습니다. 



참고자료
http://sir.kr/g5_tip/4524
http://sir.kr/g5_tip/4837
https://sir.kr/qa/265192

댓글목록

등록된 댓글이 없습니다.


Total 2,634건 40 페이지
  • RSS
기술자료 목록
1854
MSSQL   31665  2016-12-12 20:58 ~ 2017-09-22 00:00  
1853
JavaScript   10427  2016-12-08 00:48  
열람
그누보드   21172  2016-12-06 11:58 ~ 2018-12-25 12:43  
1851
HTML   10568  2016-12-06 02:42  
1850
JavaScript   16145  2016-12-06 02:28  
1849
그누보드   14256  2016-12-05 19:45 ~ 2021-01-05 12:01  
1848
MSSQL   15247  2016-11-25 01:06  
1847
Editor   19386  2016-11-24 18:19 ~ 2021-05-21 19:33  
1846
HTML   11755  2016-11-24 16:58  
1845
일반   15994  2016-11-16 20:16 ~ 2016-12-04 00:00  
1844
HTML   9019  2016-11-15 03:17 ~ 2016-12-27 00:00  
1843
일반   30581  2016-11-14 14:21 ~ 2017-04-21 00:00  
1842
그누보드   14426  2016-11-14 12:58  
1841
전자결제   17549  2016-11-13 15:27 ~ 2019-01-11 18:09  
1840
etc언어   11634  2016-11-07 23:58  
1839
Adobe   15199  2016-11-04 18:38  
1838
그누보드   26968  2016-11-03 15:42 ~ 2021-06-11 18:36  
1837
일반   14778  2016-10-29 13:48 ~ 2021-11-26 15:18  
1836
ClassicASP   12710  2016-10-28 17:19 ~ 2018-08-24 16:00  
1835
WordPress   10409  2016-10-22 01:37  

검색

해피정닷컴 정보

회사소개 회사연혁 협력사 오시는길 서비스 이용약관 개인정보 처리방침

회사명: 해피정닷컴   대표: 정창용   전화: 070-7600-3500   팩스: 042-670-8272
주소: (34368) 대전시 대덕구 대화로 160 대전산업용재유통단지 1동 222호
개인정보보호책임자: 정창용   사업자번호: 119-05-36414
통신판매업신고: 제2024-대전대덕-0405호 [사업자등록확인]  
Copyright 2001~2024 해피정닷컴. All Rights Reserved.