조은호 홈페이지 > 홈페이지 관련

203

1/9

내용보기

작성자	조은호 (2013-01-01 23:50:02)

Link#1	http://www.xpressengine.com/index.php?_filter=search&mid=zb4_tip&search_keyword=%EC%A0%95%EC%83%81%EC%A0%81%EC%9C%BC%EB%A1%9C+%EA%B8%80%EC%9D%84&search_target=title&document_srl=850708

제목	php 4.3.x 버젼 대에서 ''정상적으로 글을 작성하여 주시기 바랍니다."

[일러두기]
제로보드는 글쓰기 버튼 클릭시에 write.php와 write_ok.php에서 몇가지 기본적인 검사를 수행합니다.
이 가운데 "정상적으로 글을 작성하여 주시기 바랍니다." 에러가 발생하는 경우는 다음의 검사와 관련이 있습니다.

write.php의 13번째 줄,

        if(!eregi($HTTP_HOST,$HTTP_REFERER)) Error("정상적으로 글을 작성하여 주시기 바랍니다.");

이 구문이 가지는 의미는 사용자가 글쓰기 버튼을 눌러서 write.php 파일에 내용을 보낸 장소($HTTP_REFERER)에
제로보드가 설치된 도메인($HTTP_HOST) 문자열이 포함되어 있는지를 검사해서 만약에 포함되어 있지 않다면 에러메세지를
출력하고 더 이상 진행되지 않도록 하는 것입니다.
$HTTP_REFERER에 $HTTP_HOST가 포함되어 있지 않다는 말은 곧, 익명의 사용자가 다른 곳에서 불법적으로 write.php파일을
호출했다는 말과 같습니다.

[해결방법]
일단 2가지 문제의 원인이 있습니다.

1. php의 버젼이 업그레이드 됨에 따라 환경변수를 불러오는 방식이 바뀌었을 경우
이 경우엔,

        if(!eregi($HTTP_HOST,$HTTP_REFERER)) Error("정상적으로 글을 작성하여 주시기 바랍니다.");

이 부분을

        if(!eregi($_SERVER['HTTP_HOST'],$_SERVER['HTTP_REFERER'+ '+ '])) Error("정상적으로 글을 작성하여 주시기 바랍니다.");

로 수정하여 줍니다. 기존 버젼에서는 $HTTP_HOST 등의 변수를 선언하는 것만으로 환경변수를 불러 올 수 있었지만, 4.3.X 버젼에서는 다음과 같이 배열변수를 사용해야 환경변수를 불러 올 수 있게 된 것 같습니다.
write_ok.php 부분도 같은 부분을 위와 같이 수정해주어야 합니다.
대부분은 이렇게 수정해 주는 것만으로도 문제를 해결 할 수 있을 것입니다.

2. HTTP_HOST값이 일반적이지 않을때
이건 좀 특별한 경우입니다. 제 경우에 HTTP_HOST의 값은 http://www.foo.com:80였습니다. 뒤에 포트 번호가 붙었습니다. 이것은 제가 관리하는 서버가 방화벽 뒤에 있기 때문에 그렇습니다. 어쨌든 1번 방법으로 해결이 되지 않는 문제는 2번을 고려해야 합니다.
즉, HTTP_HOST값이 http://www.foo.com으로 되어야 하는데 http://www.foo.com:80으로 되어 있음으로 해서 해당 검사 루틴이 올바른 요청임에도 불구하고 다른 호스트에서 불법적으로 write.php파일을 요청하고 있다고 판단하는 것입니다.
방화벽은 제 맘대로 설정 할 수 없는 곳에 있음으로 제 경우 이 문제를 다음과 같이 해결했습니다.

          if(!eregi($_SERVER['HTTP_HOST'],$_SERVER['HTTP_REFERER'])) Error("정상적으로 글을 작성하여 주시기 바랍니다.");

처럼, 1번의 방법으로 수정된 부분을

        if(!eregi("http://www.foo.com",$_SERVER['HTTP_REFERER'])) Error("정상적으로 글을 작성하여 주시기 바랍니다.");

로 수정하여 줍니다. 어차피 HTTP_HOST값이 정상적인 상태라면 http://www.foo.com으로 되어 있을 것이므로 아예 문자열을 대입하는 것입니다. 물론 http://www.foo.com은 설명을 위해 가상으로 설정한 도메인이므로 이 부분에 자신의 도메인을 넣으면 됩니다.

위의 방법으로도 해결되지 않을 경우에 질문사항은 (kirrie @ kirrie . cafe24 . 컴 )으로 해주시기 바랍니다.


조은호	\|	프록시를 이용한 접근에서 문제가 생길 수 있습니다. 펌글인데 링크를 참고하시고 소스에서 모두 필요한 사항을 고치야 합니다.	D	2013-01-01 23:50:59

번호	제목	작성일	조회

	하나의 게시판 스킨으로 12개 이상의 색깔을 내는 신기한 게시판	2004/06/15	3900

202	스팸 방지 - 스팸프리	2013/01/15	2459

201	제로보드 4에서 한글 첨부파일 다운로드시 다운로드 안되는 현상 해결방안	2013/01/02	3345

	php 4.3.x 버젼 대에서 ''정상적으로 글을 작성하여 주시기 바랍니다." [4]	2013/01/01	3437

199	악성스크립트, 해킹등으로 괴로움을 겪는 제로보드4 이용자님들께 [펌글]	2010/08/12	3893

198	config.php 파일명 변경 관련 - 보안 사항	2010/04/15	5584

197	특정게시판, 특정요일에 7일전 게시물 전부 삭제하기	2010/03/12	3701

196	일정 기간이 지난 후 게시물과 파일 자동 삭제	2010/03/12	4617

195	파일다운로드시 바로실행하는 오류시	2010/03/12	2720

194	특정 조건으로 모든 게시글과 댓글에 일괄적으로 정보 변경하기	2009/09/01	3009

193	제로보드 4에서 한글 첨부파일 다운로드시 다운 로드 안되는 현상 해결방안	2009/08/06	4375

192	여러도메인 동시 로그인하기...	2009/08/06	3514

191	다국어 지원 문제	2009/08/06	2744

190	한글이나 영문의 제목으로 게시판 자동 정렬(초간단	2009/08/06	3839

189	APM SETUP 6 버젼에서 제로보드 4를 설치 사용할때 글씨가 깨지는것 해결하는 방법입니다	2009/08/06	2783

188	MySQL 4에서 5로 이전시 주의할 사항	2009/08/06	2773

187	게시판 검색란 한글 먼저 써지게 하는 소스	2009/08/06	2626

186	APM SETUP 6 버젼에서 제로보드 4를 설치 사용할때	2009/07/16	2670

185	[1분 투자] 홈피를 들어갔을때 하트마우스로 바꿔보자 ^ㅡ^	2008/04/12	3277

184	제로보드에 유용한 파일 업로더	2008/04/12	3255

183	게시물에 코멘트가 있으면 삭제 금지(관리자예외)	2007/05/09	3619

182	방금전에 본 글의 목록 제목은 진하게 표시하기	2007/03/12	4065

181	타이틀을 게시판 게시물 제목과 같게 만들어 버리자!	2007/03/10	5937

180	같은 그룹의 게시판에만 로그인할 수 있도록(최고관리자만 예외) [1]	2007/03/06	4905

179	게시물 등록할때 같은 제목으로 등록하지 못하게 만들기	2007/01/27	3956


	1 [2][3][4][5][6][7][8][9]