만들면서 배우는 CodeIgniter Q&A

제목 궁금한점입니다..
글쓴이 작업공간 작성시각 2014/06/30 09:51:40
댓글 : 3 추천 : 0 스크랩 : 0 조회수 : 9332   RSS
CSRF 나 XSS 와 SQL 삽입 공격을 대비하는 내용을 읽었습니다.

첫번째로 XSS와 SQL 삽입 공격을 방지하는건 config.php 파일에서도 자동으로 $this->input->post($---, TRUE);
를 걸어 주는 부분도 있다고 들었고, CSRF도 config.php 에서 TRUE로 설정하는걸 보았는데요.

이내용이 보안에 좋은 내용이라면 어째서 기본적으로 둘다 TRUE를 붙여주게 해두지 않았는걸까요?

저부분이 TRUE가 된다면 서버에 부하라던가속도에 문제점이 생기는 부분인가요?

아니면 일부러 XSS와 CSRF를 당하기 위한 사이트도 존재하는건가요?
 다음글 또 하나 궁금한점... (2)
 이전글 179페이지 179p (2)

댓글

변종원(웅파) / 2014/06/30 10:04:07 / 추천 0
제가 codeigniter를 만든게 아니라서 왜 default로 하지 않았는지에 대한 부분은 확실하게 답을 못합니다. ㅎㅎ
작업공간님처럼 보안에 확실하게 모든걸 default로 해놓기를 바라는 개발자가 있는 반면 
그 반대인 개발자도 있을 겁니다. 
그리고 매뉴얼만 잘 읽었다면 이런 것이 있고 필요할때 잘 쓸 수 있겠죠.

미미하겠지만 당연히 영향을 미치는 부분입니다. xss 체크는 config.php에서 설정할 경우 모든 전송값에 대해
체크를 합니다. 그리고 이 필터가 완전하지 않은 부분도 있습니다.

위지윅에디터에서 html로 전송할 경우 <span> 이나 <p> 태그에 붙은 class, id 등등을 모두 제거합니다. 
그래서 글자색이 안나오거나 스타일이 깨지거나 할 수 있습니다.

xss, csrf 적용해놨다고 해킹 안 당하는거 아닙니다. ^^;
작업공간 / 2014/06/30 11:03:25 / 추천 0
아 ... 하하 .. 그렇군용 ㅋㅋ;
양승현 / 2014/06/30 11:10:48 / 추천 0
보안을 조이면 조일수록 개발자에겐 제약이 따르게 됩니다. 안그런 부분도 있겠지만, 아무래도 많은부분 신경을 써야해요.
혼자 모든것을 생각하고 개발을 하는 경우에는 여러 부분들을 고려 해가며 개발을 하기에 그나마 나을수 있으나, 외부 플러그인들을 가져다 쓸 경우 많은 부분에서 문제가 생기곤 한답니다. 그렇다고 그 플러그인을 처음부터 다시 개발하기에는 시간이 너무 소비 되고요.
적당히 조율해가며 사용해야 하겠졍~ ^_^;