2010.05.26 11:58 WarGame


APM(Apache, PHP, MySQL) 환경의 사이트를 운영중인 L씨
현재 SQL Injection 악성코드의 공격을 받고 있다
PHP 설정파일에서 어떤 옵션을 설정해야 안전한가


가 문제입니다

구글링을 해도 쉽게 나오고, 자신이 직접 서버를 설치하여 써보신 분이라면

금방 알아채실 수 있을건데요

php.ini 파일에서 이 옵션을 On, Off 시킬수 있죠

이 옵션은 GET, POST, COOKIE Method로 넘어온 값들에 대해서

Quotes, 그러니까 [ ' , " , \ , 널문자 ] 가 있을때 \ 를 붙여주는 기능을 합니다


예를 들어, 간단한 SQL injection 인

' or 1=1--

같은 경우도 \' or 1=1-- 로 변해버리기 때문에

공격자가 원하던 결과는 낼 수 없다는 것이죠

이와 비슷한 기능을 하는 함수가 

addslashes()

반대 기능이

stripslashes()


입니다. 참조하시면 좋을듯 하네요




Posted by LinkC

블로그 이미지
LinkC

태그목록

Tistory Cumulus Flash tag cloud by BLUEnLIVE requires Flash Player 9 or better.

공지사항

Yesterday48
Today12
Total328,654

달력

 « |  » 2019.5
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

최근에 받은 트랙백

글 보관함


. .