그누보드 최신버전 (5.1.0) 살펴보기 - common.php (6)

common.php 그누보드에서 가장 기본이 되는 파일이라고 볼수 있습니다.

모든 파일에 기본적으로 인클루드 되어서 사용됩니다.

에러출력 설정, 보안적인 처리, 기본적인 경로 설정, 디비연결, 세션 설정및 시작, 공용변수의 초기화 및 재설정, 기타 확장 등의 내용으로 이루어져 있습니다.

$config = sql_fetch(" select * from {$g5['config_table']} ");

기본적인 운영 전반의 설정값들을 가져와서 $config 에 배열로 저장

환경설정을 확장하고 디비를 사용하지 않을때도 호출 할수 있는 경우도 있다고 생각한다면,

환경설정 자체를 파일로 저장하는것이 더 좋습니다.

관리자 환경설정 수정처리 부분에서 디비에 저장하지 않고 serialize 로 저장하는 것이 보편적입니다.

만약 그렇게 했을때, common.php 에서는 디비 접속 이전에 환경 설정을 unserialize 로 받아와서 사용할수 있습니다.

define('G5_HTTP_BBS_URL',  https_url(G5_BBS_DIR, false));

define('G5_HTTPS_BBS_URL', https_url(G5_BBS_DIR, true));

게시판의 기본 주소를 http 부터 시작하는 url 로 변환하여 상수에 저장합니다.

common.lib.php 에 정의되어있는 https_url 함수를 사용하였으며,

config.php 에서 정의되어있는 G5_HTTPS_DOMAIN, G5_DOMAIN, G5_URL 상수가 사용되어집니다.

if ($config['cf_editor'])

    define('G5_EDITOR_LIB', G5_EDITOR_PATH."/{$config['cf_editor']}/editor.lib.php");

else

    define('G5_EDITOR_LIB', G5_LIB_PATH."/editor.lib.php");

그누보드 내에서 사용되어질 기본 에디터 라이브러리를 정의합니다.

환경설정에서 설정한 에디터명으로 결정되어집니다.

if (isset($_REQUEST['PHPSESSID']) && $_REQUEST['PHPSESSID'] != session_id())

    goto_url(G5_BBS_URL.'/logout.php');

이 부분은 상위의 

@ini_set("session.use_trans_sid", 0);

@ini_set("url_rewriter.tags","");

이 부분 때문에 굳이 필요없는 내용입니다.

꼭 해야 한다면 악의적인 사용자 차단의 목적으로

$phpsessid_name = session_name();

if (isset($_REQUEST[$phpsessid_name]))

    goto_url(G5_BBS_URL.'/logout.php');

이런 식으로 그 방식 자체를 원천 차단하는게 보안상 더 좋다고 보입니다.

$qstr = '';

if (isset($_REQUEST['sca']))  {

    $sca = clean_xss_tags(trim($_REQUEST['sca']));

    if ($sca)

        $qstr .= '&sca=' . urlencode($sca);

} else {

    $sca = '';

}

if (isset($_REQUEST['sfl']))  {

    $sfl = trim($_REQUEST['sfl']);

    $sfl = preg_replace("/[\<\>\'\"\\\'\\\"\%\=\(\)\s]/", "", $sfl);

    if ($sfl)

        $qstr .= '&amp;sfl=' . urlencode($sfl); // search field (검색 필드)

} else {

    $sfl = '';

}

if (isset($_REQUEST['stx']))  { // search text (검색어)

    $stx = get_search_string(trim($_REQUEST['stx']));

    if ($stx)

        $qstr .= '&amp;stx=' . urlencode(cut_str($stx, 20, ''));

} else {

    $stx = '';

}

if (isset($_REQUEST['sst']))  {

    $sst = trim($_REQUEST['sst']);

    $sst = preg_replace("/[\<\>\'\"\\\'\\\"\%\=\(\)\s]/", "", $sst);

    if ($sst)

        $qstr .= '&amp;sst=' . urlencode($sst); // search sort (검색 정렬 필드)

} else {

    $sst = '';

}

if (isset($_REQUEST['sod']))  { // search order (검색 오름, 내림차순)

    $sod = preg_match("/^(asc|desc)$/i", $sod) ? $sod : '';

    if ($sod)

        $qstr .= '&amp;sod=' . urlencode($sod);

} else {

    $sod = '';

}

if (isset($_REQUEST['sop']))  { // search operator (검색 or, and 오퍼레이터)

    $sop = preg_match("/^(or|and)$/i", $sop) ? $sop : '';

    if ($sop)

        $qstr .= '&amp;sop=' . urlencode($sop);

} else {

    $sop = '';

}

if (isset($_REQUEST['spt']))  { // search part (검색 파트[구간])

    $spt = (int)$spt;

    if ($spt)

        $qstr .= '&amp;spt=' . urlencode($spt);

} else {

    $spt = '';

}

if (isset($_REQUEST['page'])) { // 리스트 페이지

    $page = (int)$_REQUEST['page'];

    if ($page)

        $qstr .= '&amp;page=' . urlencode($page);

} else {

    $page = '';

}

이부분은 기본적으로 사용될 query string 을 만드는 부분입니다.

제 개인적으로는 query string 은 원형 그대로를 넘기는 게 가장 좋다고 봅니다.

$qstr .= '&amp;sca=' . urlencode($_REQUEST['sca']);

이런식으로 말입니다.

$qstr = '';

$qstr_keys = Array('sca', 'sfl', 'stx', 'sst', 'sod', 'sop', 'spt', 'page');

foreach($qstr_keys as $v){

    if (isset($$v))

        unset($$v);

    if (isset($_REQUEST[$v]) && strlen((string)$_REQUEST[$v]) > 0) {

        if ($v == 'spt' || $v == 'page') //숫자형

            $$v = (int)$_REQUEST[$v];

        else if ($v == 'sod')

            $$v = preg_match("/^(asc|desc)$/i", $_REQUEST[$v]) ? $_REQUEST[$v] : '';

        else if ($v == 'sop')

            $$v = preg_match("/^(and|or)$/i", $_REQUEST[$v]) ? $_REQUEST[$v] : '';

        else if ($v == 'sst') //허용 문자 -> `, 영어대소문자, 숫자, _, 공백, ',', |, ., -

            $$v = preg_match("/^(`\w\s,|\.\-]+)$/i", $_REQUEST[$v]) ? $_REQUEST[$v] : '';

        else if ($v == 'sfl' || $v == 'sca') //허용 문자 -> `, 영어대소문자, 숫자, _, -, .

            $$v = preg_match("/^(`\w\.\-]+)$/i", $_REQUEST[$v]) ? $_REQUEST[$v] : '';

        else if ($v == 'stx')

            $$v = get_search_string(trim($_REQUEST[$v]);

        $qstr .= '&amp;' . $v . '=' . urlencode($_REQUEST[$v]);

    }

}

이런식으로 제안 할 수도 있을것 같습니다.

if (isset($_REQUEST['w'])) {

    $w = substr($w, 0, 2);

} else {

    $w = '';

}

if (isset($_REQUEST['wr_id'])) {

    $wr_id = (int)$_REQUEST['wr_id'];

} else {

    $wr_id = 0;

}

if (isset($_REQUEST['bo_table'])) {

    $bo_table = preg_replace('/[^a-z0-9_]/i', '', trim($_REQUEST['bo_table']));

    $bo_table = substr($bo_table, 0, 20);

} else {

    $bo_table = '';

}

// URL ENCODING

if (isset($_REQUEST['url'])) {

    $url = strip_tags(trim($_REQUEST['url']));

    $urlencode = urlencode($url);

} else {

    $url = '';

    $urlencode = urlencode($_SERVER['REQUEST_URI']);

    if (G5_DOMAIN) {

        $p = parse_url(G5_DOMAIN);

        $urlencode = G5_DOMAIN.urldecode(preg_replace("/^".urlencode($p['path'])."/", "", $urlencode));

    }

}

if (isset($_REQUEST['gr_id'])) {

    if (!is_array($_REQUEST['gr_id'])) {

        $gr_id = preg_replace('/[^a-z0-9_]/i', '', trim($_REQUEST['gr_id']));

    }

} else {

    $gr_id = '';

}

$qstr 생성할 때와 마찬가지로 변수를 초기화 하고 검사하고 재정의 하는 과정입니다.