테스트 사이트 - 개발 중인 베타 버전입니다
SIR

그누보드 최신버전 (5.0.36) 살펴보기 - common.php (3)

유창화
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 10년 전 · 1499 · 11

그누보드 최신버전 (5.0.36) 살펴보기 - common.php (3)

 

 

 

common.php 그누보드에서 가장 기본이 되는 파일이라고 볼수 있습니다.

 

모든 파일에 기본적으로 인클루드 되어서 사용됩니다.

 

에러출력 설정, 보안적인 처리, 기본적인 경로 설정, 디비연결, 세션 설정및 시작, 공용변수의 초기화 및 재설정, 기타 확장 등의 내용으로 이루어져 있습니다.

 

 

 

function array_map_deep($fn, $array)

{

    if(is_array($array)) {

        foreach($array as $key => $value) {

            if(is_array($value)) {

                $array[$key] = array_map_deep($fn, $value);

            } else {

                $array[$key] = call_user_func($fn, $value);

            }

        }

    } else {

        $array = call_user_func($fn, $array);

    }

 

    return $array;

}

 

"array_map_deep" 은 어떤 배열을 $array 로 받았을때 하위 모든 배열의 값에 어떤 처리를 일괄적으로 하기 만들어진 함수입니다.

 

php 에서 기본 제공하는 "array_map" 이 있지만 이것은 일차원배열만 처리되므로, 다차원의 배열을 처리하기 위해 만들어진 함수입니다.

 

http://php.net/manual/kr/function.array-map.php

 

array array_map ( callable $callback , array $array1 [, array $... ] )

 

에서 callable $callback 이라는 것이 보이는데 말그대로 지정된 함수나 클래스를 호출하고 값을 돌려받는다는 의미입니다.

 

 

array_map_deep($fn, $array) 여기에서는 $fn 이 위의 $callback 과 같은 것이라고 보시면 됩니다.

 

배열일때만 실행하고 배열이 아닐경우에는 $array에 아무 처리를 하지 않고 원래 그대로 리턴합니다.

 

 

foreach($array as $key => $value) {

    if(is_array($value)) {

        $array[$key] = array_map_deep($fn, $value);

    } else {

        $array[$key] = call_user_func($fn, $value);

    }

}

 

배열 크기 대로 돌려서 현재 배열의 값이 배열이면 자기 자신을 재귀호출 하여 리턴값을 받고

 

배열이 아닐경우에는 콜백 함수를 실행하여 리턴값을 받는다라는 의미 입니다.

 

 

"call_user_func" 는 함수명을 알고 있을 때 그 함수를 호출해주고 리턴값을 돌려주는 함수입니다.

 

함수명이 특정 변수의 조합으로 이루어질때 사용하기 유용합니다.

 

http://php.net/manual/kr/function.call-user-func.php

 

 

 

예를 들어 회원 레벨 마다 특별한 체크가 필요한경우

 

function level_check_2($mb) {

 

    ......

}

 

function level_check_3($mb) {

 

    ......

}

 

function level_check_4($mb) {

 

    ......

}

 

......

 

이런 식으로 각 레벨마다 체크함수가 다르다고 한다면

 

$check_result = call_user_func('level_check_' . $member['mb_level'], $member);

 

이런식으로 사용이 가능합니다.

 

 

 

function sql_escape_string($str)

{

    if(defined('G5_ESCAPE_PATTERN') && defined('G5_ESCAPE_REPLACE')) {

        $pattern = G5_ESCAPE_PATTERN;

        $replace = G5_ESCAPE_REPLACE;

 

        if($pattern)

            $str = preg_replace($pattern, $replace, $str);

    }

 

    $str = call_user_func('addslashes', $str);

 

    return $str;

}

 

이 함수는 sql 인젝션 공격에 대비한 함수라고 보면 됩니다.

 

기존에는 "mysql_real_escape_string" 을 주로 썻지만, 이 함수를 쓰기 위해서는 디비 연결이 선행되어야 하기 때문에 "addslashes" 라는 함수를 쓴것으로 보입니다.

 

http://php.net/manual/kr/function.mysql-query.php

 

 

그누보드4 버전 같은 경우는 $_POST 나 $_GET, $_COOKIE 값을 임의로 "addslashes" 로 가공 한 후 사용하였기 때문에

 

여러가지 문제들이 좀 있었지만, 그누보드5 에선 넘긴 데이타의 원형 그대로를 사용하기 때문에 이전에 가졌던 문제는 없어졌다고 보는것이 맞습니다.

 

따라서 "addslashes" 만으로도 충분히 sql 인젝션 공격에 대비 할수 있습니다.

 

http://php.net/manual/kr/function.addslashes.php

 

 

if(defined('G5_ESCAPE_PATTERN') && defined('G5_ESCAPE_REPLACE')) {

 

......

}

 

이부분은 상위에서 인클루드 되어진 config.php 에서 "G5_ESCAPE_PATTERN" 과 "G5_ESCAPE_REPLACE" 가 설정 되어 있다면, 치환을 하겠다는 뜻입니다.

 

현재는 설정이 되어있지 않습니다.

 

 

$str = call_user_func('addslashes', $str);

 

여기서는 함수의 인자로 콜백 함수명을 받지 않기 때문에

 

$str = addslashes($str);

 

로 사용하는 것이 더 바람직한 것 같습니다.

 

 

아무튼 "sql_escape_string" 이 함수는 sql 인젝션 공격에 방어하기 위해서 만들어진 함수 이며, 주 내용은 "addslashes"  처리를 한다는 것입니다.

 

그리고, config.php 에서 

 

define('G5_ESCAPE_FUNCTION', 'sql_escape_string'); 

 

식으로 등록되어져서 사용 되어집니다.

 

 

 

if (get_magic_quotes_gpc()) {

    $_POST    = array_map_deep('stripslashes',  $_POST);

    $_GET     = array_map_deep('stripslashes',  $_GET);

    $_COOKIE  = array_map_deep('stripslashes',  $_COOKIE);

    $_REQUEST = array_map_deep('stripslashes',  $_REQUEST);

}

 

php 설정상 magic_quotes_gpc 가 1 인 경우에는

 

$_POST, $_GET, $_COOKIE 등에 자동적으로 "addslashes" 처리가 되기 때문에

 

넘길 당시의 원형의 값을 받기 위해 "array_map_deep" 함수를 사용 하여 "stripslashes" 처리를 해주는 것입니다.

 

 

 

$_POST    = array_map_deep(G5_ESCAPE_FUNCTION,  $_POST);

$_GET     = array_map_deep(G5_ESCAPE_FUNCTION,  $_GET);

$_COOKIE  = array_map_deep(G5_ESCAPE_FUNCTION,  $_COOKIE);

$_REQUEST = array_map_deep(G5_ESCAPE_FUNCTION,  $_REQUEST);

 

$_POST, $_GET, $_COOKIE 등에 "G5_ESCAPE_FUNCTION" 로 등록된 함수를 통하여 미리 데이타를 가공하는 의미입니다.

 

원래는 이렇게 선처리 보다 각 디비 처리시 개별적으로 일일이 넣어주는것이 좋으나,

 

이전에서도 설명 한 바 있듯이, 스킨이나 사용자가 직접 추가 수정한 부분에서 사용하지 않을 수도 있으므로

 

보안상 일괄적으로 미리 처리하는 의미입니다.

 

 

 

@extract($_GET);

@extract($_POST);

@extract($_SERVER);

 

제가 이전 내용에서 "extract" 는 사용되지 않는다고 하였는데......

 

아마도 이것역시 기존 스킨이나 사용자가 직접 추가한 부분에서 사용되는 것들에 대한 대비로서 넣어 놓은 부분 인것 같습니다.

 

그러나, 이것도 앞으로는 빠져야 할 부분이라고 생각합니다.

 

 

 

$config = array();

$member = array();

$board  = array();

$group  = array();

$g5     = array();

 

그누보드의 중요 변수의 초기화 입니다.

 

그누보드 내부적으로 사용되는 중요 변수 이므로, 이전에 정의 되었거나 $_GET 이나 $_POST 로 넘어 온것에 대한 "extract" 로 먼저 정의 되어있을수 있는 것을 방지 하기 위한 차원이며,

 

프로그램 상 형선언의 의미도 있습니다. 

목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 11개

solsu1
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
아직은 $check_result = call_user_func('level_check_' . $member['mb_level'], $member);
이런 내용정도 파악이 용이합니다. 그러나 곧.. 굉장해 질 것 같아요. ^^
모두 선생님께서 이롭고자 움직여 주신 은공입니당~~
고맙습니다. 선생님..
유창화
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
그렇다니 저도 기분이 좋습니다.
감사합니다.
뽁스
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
오전에는 이해가 잘 안되었는데
밥먹고 와서 다시 보니 이해가 되네요~^^
좋은 강좌 올려주셔서 감사합니다.
유창화
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
네^^

고맙습니다.
亞波治
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
기본적인 보안도 누락하지 않았군요.
기본기가 탄탄해지는 기분이 듭니다. 감사합니다....^^
유창화
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
네에 감사합니다. 아파치님^^
물한모금
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
오늘도 수강 완료했습니다.
유선생님, 그런데 마지막 그누보드 변수 초기화 부분에서
"프로그램 상 형선언의 의미도 있습니다."
이 부분을 잘 이해 못했습니다.
초보의 질문을 너그러이....ㅜㅜ (__)
유창화
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
형선언이라는 것은

앞으로 이런 변수를 이런 데이타 타입으로 쓰겟다고 미리 지정 하고, 메모리에 할당해 놓는것을 말합니다.

php 나 자바스크립트 같은 것들은 비교적 이런것에 자유롭기 때문에
형(변수)선언을 하지 않아도 크게 문제가 없지만,

원래는 써주는것이 정석입니다.

답변이 되었는지 모르겠습니다.
물한모금
프로필 보기이 회원 글보기이 회원의 댓글보기
 10년 전
상세히 설명해 주셔서 감사합니다.^^
열공하겠습니다. (__)

게시글 목록

번호 제목
20097
PHP User Management 관련 입니다.
20095
웹서버 LEMP(ubuntu14.04 + nginx + mysql + php-fpm + memcached) 스택 설치방법 소개 1
20093
PHP 관리자 및 회원의 페이지 접근 권한 간단구현 입니다. 1
20092
PHP [서버운영] 아파치로그] sql로 바로 저장 입니다.
20091
PHP [서버운영] 아파치로그] 보기좋고 파싱하기 좋은 통합로그 입니다.
20089
PHP (win) xdebug와 xampp 사용하기 입니다. 1
20086
PHP 계정별 register_global 설정 입니다. 2
20085
PHP apache log처리에 대해서 입니다.
20084
PHP 이름기반 가상호스트 설정관련 입니다.
20083
PHP exif 익스텐션 실행이 안되는 경우 입니다.
20082
PHP 타겟(target) 쓰는 법 입니다.
28358
input에 링크를 걸려고 하는데;; 2
20081
PHP 파일이름의 확장자로 파일 종류를 확인하는 함수 입니다.
20079
PHP 이미지 없는 라운드테이블 만들기 입니다. 1
20078
PHP 문자셋 인코딩 바꾸는 팁 입니다.
20077
PHP 타도메인간 쿠키 공유하기 입니다
20076
PHP apache mod_rewrite 설치시 팁 입니다
20075
PHP 본문에 주민등록번호가 포함되면 경고 알려주기 입니다.
20074
PHP 입력내용중의 일부만 보여주고 x 표시 할때 입니다.
20073
PHP php환경 변수 출력 입니다.
20072
PHP PHP팁 (보안 등) 입니다.
20071
PHP 문자열 자르는 함수 입니다.
20070
PHP 게시판에서 컨텐츠중 이미지 사이즈를 조정 입니다.
20069
PHP 파일 업로드 시 html에서 용량 제어하기 입니다.
8148
저작권 폰트? 23
20057
정규표현식 파싱 예제입니다. 11
8141
자바스크립트로 트위터 트윗을 따오고 싶어요! 6
24669
예전에 봤던 PPT만들기 팁 공유하고싶어서요.
20056
웹서버 리눅스 특정 명령어 실행 권한 주기
8138
PC로 스마트폰 터치제어하기가 가능한가요? 2
28353
파이어폭스 본고딕 웹폰트 깨짐.. 4
20055
jQuery Simple Carousel (Sliding Banner)
20054
jQuery CSS3 - transition, transform을 이용한 element effect!
20053
PHP 비 전문가를 위한 XMLHttpRequest 활용 소개 입니다.
20052
PHP 디렉토리내의 모든 원소의 소유권, 그룹, 퍼미션 정보 가져와서 저장하기 입니다.
20051
PHP httpd.conf 파일 완벽 가이드 입니다.
20050
JavaScript 지난 시간 경과시간 페이스북 sns 처럼 보여주기 javascript 버전
20047
PHP [Instagram] 해시태그 검색 이미지 얻어오는 방법 2
20046
PHP php환경맞춤 부분 입니다.
20045
PHP 프레임 새로고침할 때 페이지 유지하기 입니다.
20044
PHP 접속자의 브라우져와 OS정보를 알려주는 함수 입니다.
8111
구매대행 쇼핑몰 제작의뢰. 26
20043
PHP 웹호스팅해서 사용시 fopen을 사용하지 못할 경우 해결법입니다.
20042
PHP zend 설치하기 (php.ini) 에서 안보일때 해결법 입니다.
20040
PHP 아파치 무단링크 막기 입니다. 1
20039
JavaScript 구글 맞춤검색 설정 방법, google custom search
20037
PHP php in_array 사용법 배열값 확인하기 1
20036
PHP ob_start callback에 대한 설명
20035
PHP call_user_func 함수 재정의
20027
MySQL 1000만건 게시판에 도전합니다. 두번째 7
8107
제로보드에서 그누보드 변경방법? 3
31022
기타 ie 와 크롬 폰트 부분해결할 수 있는건지좀 알려주시면 감사드립니다. 1
20026
MySQL Join 을 이용한 delete
20025
PHP 정규식 (Regular Expression Functions) 입니다.
20024
PHP Apache 설치후 httpd.conf 설정
20023
PHP 미리 정의된 변수들 입니다.
28350
파일다운 링크에관해 질문드립니다 ㅠ_ㅠ도와주세요 2
20022
PHP array_rand 관련 입니다.
20018
MySQL 1000만건 게시판에 도전합니다. 첫번째 3
20017
MySQL select 해서 바로 insert하기
8099
사파리에서는 두개 이상의 같은 이름 radio는 안 먹네요. 7
20016
MySQL 필드 내용에서 특정문자열을 기준으로 문자열 자르기
20013
PHP PHP최근메뉴얼(도움말)파일입니다 2
8090
모바일사이트 앱등록 방법 8
20012
PHP 시스템 정보를 알아볼 수 있는 방법입니다.
20010
PHP number_format 시 빈값 예외처리 1
20009
웹서버 Could not reliably determine the server's fully qualified domain name
19998
PHP 텔레그램 푸쉬 봇 10
28348
SK 공시지원금 홈페이지 자동연동 API 1
28347
angularjs 수정작업 및 스크립트 작업 가능 하신분 계신가요?
19997
OS 짧은 주소 만들기, htaccess RewriteRule 리다이렉션
19996
OS 파일분할 분할압축 해제
19995
웹서버 리눅스백그라운드실행
19993
PHP 로컬에서 자바스크립트 HTML 소스 가져오기 1
8087
<초보분들을 위한 개념> CSS란 ? 2
8065
오픈마켓, 개발 3년차에게 가능한 일인지? 21
19990
jQuery JQuery 이미지 lazyload 플러그인입니다. 2
8063
g4->g5로 업데이트후 구글에서 검색노출 저조되는현상.. 1
8056
오픈마켓 오픈소스 구할수 있을까요? 6
19989
기타 printf함수를 이용하여 문자 출력
19988
기타 printf함수를 이용하여 실수형 데이터 출력하기
19987
기타 printf함수를 이용하여 정수값 출력하기​
19986
기타 정수값으로문자출력 putchar
19985
기타 c언어 기초강의 - 한문자 출력 명령어 putchar
19984
기타 C언어기초강의 - puts로 문자열 출력
19983
MySQL [MySQL] csv 파일을 직접 MySQL 테이블로 Import 하는 방법 (대용량 파일 import 팁)
19982
MySQL mysql에서 boolean 타입 사용하기
8054
답글, 댓글 로직 1
19981
jQuery jquery 플러그인: rolVideo.min.js 공개하였습니다.
19980
웹서버 [리눅스] 사양 알아보기 (메모리, CPU, HDD, 비트, 네트워크)
19979
MySQL mysqladmin 상태 모니터링
19978
기타 리눅스 아파치 서버에 그누컨텐츠 설치하기
19977
웹서버 리눅스 프로세스 중단, 제거, 중지 - Kill
19976
웹서버 리눅스 프로세스 검사, 조회
19975
웹서버 리눅스에서 네트워크 상태 보기
19974
웹서버 리눅스 80 포트 방화벽 열기
19973
MySQL mysql 사용시 콘솔내에서 유용하게 사용할 수 있는 방법 몇가지
19972
MySQL Mysql Table 일괄 삭제 방법.
19971
MySQL Mysql 특정값 제외하고 Select 하기. Not IN
19970
MySQL mysql . update replace(치환) 방법 (mysql 팁)
이전 다음
전체 목록