그누보드는 sql 인젝션을 어떻게 방지하나요?? 정보
그누보드는 sql 인젝션을 어떻게 방지하나요??
본문
사용자가 스킨에 여분필드를 사용할대
<input type="text" name="wr_1"> 이런식으로 사용을 하잖아요...
저장될때 보면 그냥 $wr_1 변수가 바로 쿼리문에 들어가던데요..
그리고 인터넷상에서 sql 인젝션 강좌대로 해보면 안먹히네요.. ' 이런것은 /' 이렇게 처리가 되구요.. apm_setup6 버전입니다..
따로 select update delete 등이나 이것저것 걸러내야 할텐데..
그누소스를 봐도 보면서 지나치는건지.. 제눈에 먹물이 묻어있는건지.. 도통 보이질 않네요--;;
혹시 아시는분 계시나요??
추가로.. 개인적으로 인젝션 방지할때 사용하시는 함수등이 있으신지.. 예를 들어 문자걸러내는...
<input type="text" name="wr_1"> 이런식으로 사용을 하잖아요...
저장될때 보면 그냥 $wr_1 변수가 바로 쿼리문에 들어가던데요..
그리고 인터넷상에서 sql 인젝션 강좌대로 해보면 안먹히네요.. ' 이런것은 /' 이렇게 처리가 되구요.. apm_setup6 버전입니다..
따로 select update delete 등이나 이것저것 걸러내야 할텐데..
그누소스를 봐도 보면서 지나치는건지.. 제눈에 먹물이 묻어있는건지.. 도통 보이질 않네요--;;
혹시 아시는분 계시나요??
추가로.. 개인적으로 인젝션 방지할때 사용하시는 함수등이 있으신지.. 예를 들어 문자걸러내는...
댓글 전체
common.php 에 REQUEST들에 addslash 해주는 부분이 있습니다.
common.php
상단부분
//
// phpBB2 참고
// php.ini 의 magic_quotes_gpc 값이 FALSE 인 경우 addslashes() 적용
// SQL Injection 등으로 부터 보호
//
아래 내용을 살펴보세요
상단부분
//
// phpBB2 참고
// php.ini 의 magic_quotes_gpc 값이 FALSE 인 경우 addslashes() 적용
// SQL Injection 등으로 부터 보호
//
아래 내용을 살펴보세요
감사합니다. 제가 보고도 지나친듯 하네요. 소스 내용을 보니.. 특정변수가 아니라
POST와 GET 그리고 COOKIE에서 가져오는 변수들에 addslashes가 적용되는 것으로 이해하겠는데요.. 그렇다면.. 스킨에 common.php 파일이 포함된곳은 따로 처리하지 않아도 되는것이고 포함되지 않은 곳에만 따로 처리를 해주면 되겠군요..
답변 감사합니다.
POST와 GET 그리고 COOKIE에서 가져오는 변수들에 addslashes가 적용되는 것으로 이해하겠는데요.. 그렇다면.. 스킨에 common.php 파일이 포함된곳은 따로 처리하지 않아도 되는것이고 포함되지 않은 곳에만 따로 처리를 해주면 되겠군요..
답변 감사합니다.
