최신글 추출의 문제점에 대해서
1,498
2015.03.08 22:17
짧은주소
- - 짧은주소: http://v2.eyoom.net/bbs/?t=1dx 주소복사
본문
현 이윰 빌더 1.5의 각종 게시판 추출 관련 글들에서 실제 표시되어야 할 글의 본문을 뽑아오는게 아니라 작성자가 적어 넣은 게시글에 제일 먼저 적어 넣은 (자바스크립트) 소스 자체를 추출하네요.
예를들자면
<div id='playerBCdWEMCeZPRL'></div>
<script type='text/javascript'>
jwplayer('playerBCdWEMCeZPRL').setup({
file: 'www.example.com/data/movie.mp4',
title: 'example',
width: '100%',
aspectratio: '4:3' });
</script>
글 작성시 옵션 html 선택 후 위와 같은 스크립트를 적고 실제 보여져야할 메세지를 적고나서 글을 작성하게 되면 각 게시판 하단에 생성되는 "월간베스트" 추출글에서 위에 예제로 적은 소스 추출됩니다.
그누보드5 기반의 이윰 빌더라 자체적으로 자바스크립트,아이프레임 등이 제한되어 있어 그누보드의 common.lib.php를 수정한 상태로 제한을 해제한 상태입니다.
0
좋아요!
레벨 17
경험치 28,938
Progress Bar 52%
- 가입일 : 2015-02-26 22:28:15
- 서명 :
- 자기소개 :
댓글목록
자이언트님의 댓글
스크립트 소스도 내용이라서 그런거 아닐까요?
축하합니다. 첫댓글 포인트 83포인트를 획득하였습니다.
shadow님의 댓글
음... 솔직히 이해가 안가네요..
제가 그누보드에 입문한지 얼마되지 않은 초보라 하더라도 게시글 내용에 입력된 스크립트를 내용으로 인식한다면 오직 글만 입력해야 한다는 얘기가 되지 않나요?
그노보드가 그러한지 이윰 빌더가 잘못된건지 이부분은 도저히 이해할수가 없습니다..
자이언트님의 댓글
저에게 이해가 안간다고 말씀하실 이유는 없지 않나요? ㅎ
그리고 자신이 이해하지 못하는 부분이면 모두 잘못 된 거군요.
shadow님의 댓글
"자이언트"님에게 이해가 안간다는 뜻은 아닙니다..
홈페이지를 구축해서 관리자로써 게시글을 올릴때 잡스러운 소스가 최근 게시글에 추출되어서 보여지면 의도한바가 아니지 않나 싶습니다..
각 개인에게 글 작성시 스크립트 소스를 제한하는 그누보드5의 보안상의 정책이 있다 할지라도 이러한 부분이 현실이라면 게시글에 스크립트를 이용하지 말라는 뜻으로 받아 들여야겠지요..
"자이언트"님도 글 자체를 두고 오해의 소지가 있으신데요.
내가 이해를 못하니 잘못되었다가 아니라 이해를 시켜달라는 거지요..
그러니 초보지요..
자이언트님의 댓글
이해를 구하는 어투가 아니라서 말씀 드린 겁니다.
초보시라면 초보답게 질문한다면 훨씬 부드럽고 좋아 보일텐데요.
왜 이해를 시켜드려야하는지에 대한 명분이 없잖아요.
그리고 고수들이 나름 만들어 놓은 이유들이 있지 않을까요?
자이언트님의 댓글
참고로 common.lib.php 에서 htmlpurifier 부분 소슬 주석처리했다면..
XSS (Cross site scripting) 취약점에 바로 노출되어 보안상 문제가 되겠네요.
shadow님의 댓글
그래서 여분 필드를 활용해야 하는데 아직은 그누보드의 여분 필드의 개념을 이해 못하고 있고
이윰 빌더와의 디자인적인 측면과 함께 접근해야 하는데 이 부분 또한 가방끈이 짧아서 쉽지 않네요..
아직은 과거 홈 데이타를 이전하는 단계에서 완벽하게 보여져야 하는 입장이라..
하여튼 초보는 어려움이 많네요..
"자이언트"님과 괜한 언쟁의 느낌이 있었지만 오해하지 마시기 바랍니다..
초보는 답답합니다. ^^
자이언트님의 댓글
넵.. 오해하지 않을게요. ^^
궁금하시면 저도 나름 배우면서 공부하고 그러니까요.
함께 물으면서 배워가도록 하죠.
늦은 밤 수고가 많으시네요.
자이언트님의 댓글
jwplayer를 이용하여 내부 동영상을 게시판에 바로 플레이하려고 하는 듯 보이는데요.
그 부분에 대해서는 아마 기능 추가해 주시겠죠.
대부분 알만큼 아는 동영상 플레이어니까요.
참고로 아직은 이 빌더에는 자체 동영상 플레이하는 기능은 없는 걸로 알고 있어요.
이윰넷님의 댓글
안녕하세요. shadow님
두분께서 주고받는 내용을 검토해 보았습니다.
이윰빌더의 최신글은 g5_eyoom_new 테이블에서 모든 게시물에 등록되는 포스팅과 댓글을 동시에 관리합니다.
홈페이지의 속도에 지대한 영향을 주는 요소랍니다.
최신글을 불러올 때 다른 DB커넥션이 없이 한번에 불러오도록 하기 위한 부분입니다.
글이 등록될 때, 등록되는 게시물 내용을 그누보드5의 plugin/htmlpurifier 에 의해 필터링된 내용을
html 태그만 제거하고 그중 내용의 앞부분 300자만 잘라 보관하며 이를 최신글에 뿌려주게 되어 있습니다.
그래서 스크립트도 문자열이기에 내용으로 인지하게 되는 거랍니다.
자세한 부분에 대해서는 프로그램 소스가 오픈되어 있으니 검토해 주시길 바랍니다.
감사합니다.
shadow님의 댓글
현재 htmlpurifier를 특정 회원 레벨 이하에만 적용되도록 하여 사용하고 있습니다.
초기엔 그누보드의 로직을 몰라서 htmlpurifier를 아예 사용하지 못하게 하고 글을 작성했던 상황이였지요..
말씀하신대로 html 태그가 제거가되니 당연한 결과구요..
여하튼 정성어린 댓글 감사합니다.
덕분에 초보가 한걸음 더 성장한 느낌이네요 ^^;
shadow님의 댓글
운영자님~
최신글을 뽑아주는 소스가 어떤 파일에 포함되어 있는지 알려주실 수 있나요?
이윰넷님의 댓글
shadow님 안녕하세요.
http://eyoom.net/page/?pid=latest 여기를 참고해 주세요.
최신글 추출 함수는 /eyoom/classes/latest.class.php 파일에 있습니다.
감사합니다.
shadow님의 댓글
아~ 정말 감사드립니다..