[G5] 올바른 방법으로 이용해 주십시오. > 온라인강의

본문 바로가기
 
 
 
오늘 2,060
어제 2,149
최대 2,526
전체 3,627,480

최근 방문자

1859
1202
1263
2029
2149
2060
17 18 19 20 21 22
비즈니스의 시작 비즈명함 ~ 가격, 품질, 배송 3가지 만족을 드리는 비즈명함 / 즉석명함 / 급행서비스 / 서울 전지역 수도권일부 3시간배송

select * from g5_menu where me_use = '1' and me_link like '%lecture%'
온라인강좌 홈 > 온라인강좌 > 온라인강좌

그누보드 | [G5] 올바른 방법으로 이용해 주십시오. (up. 2017-11-16 15:47)

페이지 정보

작성일2016-12-06 11:58 조회2,140회 댓글0건

본문

업그레이드 되면서 보안 강화차원에서 새로운 코드가 추가됩니다.



1. 그누보드5 / skin / board / 폴더 / write.skin.php

1-1. 수정1
    <form name="fwrite" id="fwrite" action="<?php echo $action_url ?>" onsubmit="return fwrite_submit(this);" method="post" enctype="multipart/form-data" autocomplete="off" style="width:<?php echo $width; ?>">
    <input type="hidden" name="w" value="<?php echo $w ?>">

에서 아래와 같이 uid 관련 코드가 없으면 추가하세요 

    <form name="fwrite" id="fwrite" action="<?php echo $action_url ?>" onsubmit="return fwrite_submit(this);" method="post" enctype="multipart/form-data" autocomplete="off" style="width:<?php echo $width; ?>">
    <input type="hidden" name="uid" value="<?php echo get_uniqid(); ?>">
    <input type="hidden" name="w" value="<?php echo $w ?>">


1-2. 수정2
            <input type="submit" value="작성완료" id="btn_submit" accesskey="s" class="btn_submit">
5.2.3 버전에서 게시글 CSRF 취약점 관련 수정되면서 type="sumit" 가 아닌 경우엔 오류 발생
type="button" 또는 type="image" 등을 사용하고자 하는 경우엔 http://sir.kr/g5_tip/4837 참고



2. 그누보드5 / skin / board / 폴더 / view_comment.skin.php

2-1. 수정1
    <form name="fviewcomment" action="<?php echo $comment_action_url; ?>" onsubmit="return fviewcomment_submit(this);" method="post" autocomplete="off">
    <input type="hidden" name="uid" value="<?php echo get_uniqid(); ?>">
   <input type="hidden" name="w" value="<?php echo $w ?>" id="w">

에서 아래와 같이 uid 관련 코드가 없으면 추가하세요 

    <form name="fviewcomment" action="<?php echo $comment_action_url; ?>" onsubmit="return fviewcomment_submit(this);" method="post" autocomplete="off">
   <input type="hidden" name="w" value="<?php echo $w ?>" id="w">


2-2. 수정2
    <?php if($is_guest) echo chk_captcha_js();  ?>

의 내용이 추가

    <?php if($is_guest) echo chk_captcha_js();  ?>

    set_comment_token(f);


2-3. 수정3
            $query_string = str_replace("&", "&amp;", $_SERVER['QUERY_STRING']);

의 내용이 보이면 아래의 것으로 변경하세요. 

            $query_string = clean_query_string($_SERVER['QUERY_STRING']);


2-4. 수정4
            $query_string = clean_query_string($_SERVER['QUERY_STRING']);

            if($w == 'cu') {
                $sql = " select wr_id, wr_content from $write_table where wr_id = '$c_id' and wr_is_comment = '1' ";
                $cmt = sql_fetch($sql);
                $c_wr_content = $cmt['wr_content'];

와 같이 코드가 보이면 아래처럼 변경하세요. 

            $query_string = clean_query_string($_SERVER['QUERY_STRING']);

            if($w == 'cu') {
                $sql = " select wr_id, wr_content, mb_id from $write_table where wr_id = '$c_id' and wr_is_comment = '1' ";
                $cmt = sql_fetch($sql);
                if (!($is_admin || ($member['mb_id'] == $cmt['mb_id'] && $cmt['mb_id'])))
                    $cmt['wr_content'] = '';
                $c_wr_content = $cmt['wr_content'];



3. 그누보드5  ->  관리자  ->  환경설정  ->  세션 삭제



4. 위의 작업을 진행한후 익스플로러, 크롬, 파이어폭스, 사파리 등 다양한 브라우저로 테스트를 하세요 
일부 브라우저는 캐시/임시파일 등으로 인해서 변경된것을 인지 못하는 경우가 있습니다. 



참고자료
http://sir.kr/g5_tip/4524 
http://sir.kr/g5_tip/4837 
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기

댓글목록

등록된 댓글이 없습니다.


목록

Total 2,125건 1 페이지
온라인강의 목록
번호 제목
2125
2124
2123
2122
2121
2120
2119
2118
2117
2116
2115
2114
2113
2112
2111
2110
2109
MySQL Not Acceptable (up.2017-11-02 17:42) Hit.274
2108
2107
2106
2105
2104
2103
2102
2101
게시물 검색
 
 
상호: 해피정닷컴 대표:정창용 사업자등록번호:119-05-36414 (08394) 서울시 구로구 디지털로 242 한화비즈메트로1차 1502호
전화: 070-7600-3500 팩스:02-865-3528 개인정보관리:정창용 mail@happyjung.com 에스크로확인
개인정보취급방침
COPYRIGHT 2001~2017 해피정닷컴. All rights reserved. 통신판매신고:2014-서울구로-0074
 
모바일 버전으로 보기