ss K
70
2021-04-16 14:26:49
3
182

라라벨 게시판 만드는 중 입니다.


이제 3주차 되는 신입입니다.

처음 입사하고 팀장님께서 라라벨 공식문서를 일단 한번 쭉 보라고 하셨고

다 보고 난후에 간단한 게시판을 만들어보라고 하십니다.


로그인기능은 없고 기본적인 CRUD 기능, 페이징, 여기에 추가로

오류 처리 관련이나 게시판 보안 관련해서 최대한 프로덕션 급으로 만들어보라고 하시는데

CRUD와 페이징은 생각보다 금방 끝이났는데 저 오류처리와 보안관련된 부분이 도저히 감도 안잡히네요...


오류처리 관련해서는 일단 글 제목과 내용 작성할때 validate 유효성 검사만 간단하게 넣어봤고

컨트롤러 메소드부분에 try catch 사용해서 메세지 띄우는식으로 해두긴했는데

저 보안 관련된 부분이 문제네요....


팀장님이 말씀하신 프로덕션급 이라는것도 뭔가 부담?스럽기도하고... 어떤부분을 말씀하신걸까요...

조금이나마 도움을 주시면 감사하겠습니다 ㅠㅠ

0
  • 답변 3

  • woo.s.o
    133
    2021-04-16 14:43:10

    주로 게시판의 경우 웹 쉘과 SQL 인젝션에 대비 하셔야 합니다.


  • LazyBoy
    123
    2021-04-16 15:32:54 작성 2021-04-16 15:43:31 수정됨

    저도 라라벨로 처음 게시판 만드는 중입니다.

    라라벨 쿼리 빌더를 쓰시면 자동으로 pdo 바인딩이 되어서 웬만한 sql 인젝션 방어가 될 겁니다.

    직접 sql을 하시려면 prepared statement를 쓰셔서 미리 sql이 컴파일 된 상태로 돌려주시면 왠만한건 그냥 넘어갈 겁니다.

    저는 쿼리 빌러 해석하는게 짜증나서 그냥 mariadb 안에서 저장 프로시저로 바꾸고 있는데 이렇게 해도 인젝션 방어 됩니다.


    저는 XSS 관련해서는 아직 한게 없는데 나중에 이부분 작업하시면  저도 좀 알려주시겠어요?


    그리고 CSRF토큰은 쓰고 계신거죠?

  • ss K
    70
    2021-04-16 15:59:34

    woo.s.o // 감사합니다. 우선 그쪽부터 알아봐야겠네요


    LazyBoy // 라라벨 도큐먼트 보면서 따라하다보니 쿼리빌더는 자연스럽게 사용한거같네요. 해석보다는 일단 따라해보는 식으로 하는중이라... 적는걸 깜빡했네요 csrf 토큰도 사용하고있습니다! 윗분 말씀해주신거 좀더 알아보고 팀장님께 일단 검사 받아봐야겠네요. XSS 관련해서도 작업하게되면 미약하지만 아는대로 알려드리겠습니다~


  • 로그인을 하시면 답변을 등록할 수 있습니다.