CI 묻고 답하기

제목 SQL 일반적인 질문...
글쓴이 헛발이 작성시각 2010/03/09 13:53:15
댓글 : 2 추천 : 0 스크랩 : 0 조회수 : 20673   RSS
궁굼한게 있는데요... 다들 이런 경우에는 어떻게 하고 있나요?

예를 들어서 데이터를 삭제 하는 부분이에요...
그러면 보통 URL이

도메인/delete/id/1

이렇게 되잖아요...이렇게 하는것에 대해서 어떻게 생각하시나요?
이렇게 되면 아무리 관리자라 할지라도.. URL에 숫자만 바뀌 가면서 할수 있는 문제잖아요?

그래서 전에는 구분값을 md5로 변경해서...

도메인/delete/id/#$%3452%$# 이렇게 넘겨서 받은 다음에 where조건에서 md5(id) = $id
이런식으로 한적도 있는데요...

다른 분들은 보통 어떻게 하시나요? 주로 id를 넘기나요?
 다음글 고수님들 SQL또 질문요~ (4)
 이전글 SVN에 관한 질문 (4)

댓글

변종원(웅파) / 2010/03/09 14:03:24 / 추천 0
실제 지우는 프로세스에서 권한체크(로그인 여부, 소유자 여부, 권한 여부)를 한번 더 하고
referer체크하고 좀더 신경을 쓴다면 지우기전 captcha 값 넘겨서 체크까지 하면
이중삼중 체크는 될듯 합니다.
헛발이님이 말씀하신대로 md5해서 넘기는 것도 한 방법이구요.
그런데 사전적 의미나 숫자의 경우 md5 해쉬값이 알려져있어서 풀립니다. (md5 검색사이트 있음)
처리를 하시려면 md5(테이블명_지울번호_랜덤)해서 넘기고 랜덤을 만든 키 값도 같이 넘겨서
키에 따른 랜덤값 생성후 넘어온 md5값과 생성한 md5 값을 비교하시는게 좋습니다.

그리고 세션을 db세션 사용하면서 암호화까지 사용하시면 좀더 안전합니다.
헛발이 / 2010/03/09 14:11:13 / 추천 0
다 알아 듣겠는데...captcha이건 뭔말인지 잘 모르겠군요..
한번 찾아 봐야 겠네요...
감사합니다..