웹마스터 팁
PHP에서의 SQL문 보안취약성
2002.09.09 14:44
CERTCC 메일링 리스트에서 받은 내용인데.. 제로보드도 예외가 아니라고 하더군요...
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
댓글 5
-
inging-zb41
2002.09.09 20:32
-
토끼군
2002.09.09 17:32
다행히도 제가 사용하는 계정은 magic_quotes_gpc=on입니다. :-) -
zero
2002.09.09 15:05
예~ 우리나라에서는 php설치할때 php-dist.ini 파일을 가지고 php.ini로 변경, 적용하기 때문에 거의 문제가 없을거에요.
php-recommend.ini 파일의 경우 magic_quotes_gpc가 off되어 있는데, php-dist.ini 파일에서는 기본적으로 on 되어 있기 때문입니다.
magic_quotes_gpc가 off일 경우 속도상의 장점이 조금 있다고 하지만;; on 해 놓는것이 더 좋을거 같네요. -
nos
2002.09.09 15:27
저 같은 경우는 가비아(gabia.com)에서 웹 호스팅을 받고 있습니다.
위 링크에 나와있는 보안상의 문제가 적용이 되더군요.
즉, 관리자 아이디와 비밀번호를 몰라도 관리자로 로그인이 되는 경우 입니다.
일단 링크에 나와있는 해결책에 따라
login_check.php 파일 앞부분을 수정 하였습니다.
$user_id = mysql_escape_string(trim($user_id));
$password = mysql_escape_string(trim($password));
수정후 이 문제는 해결 되었습니다.
이 후 제가 어떤 조치를 취해야 할 지..잘 모르겠네요 ^^;;; -
nos
2002.09.10 23:22
결국 오늘 가비아측에 전화해서
magic_quotes_gpc=off 에서 magic_quotes_gpc=on 로 바꾸도록 했습니다.
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| [초간단 자바스크립트!] 튀어나오는 글자..-_-;; | ∑Ztxy | 2004.01.18 |
| [초간단 자바스크립트!] 이미지 갤러리 [2] | ∑Ztxy | 2004.01.18 |
| [초간단 자바스크립트!] 색깔바뀌는 메뉴 [3] | ∑Ztxy | 2004.01.19 |
| 전체화면에서 스크롤바 없애기 [7] | 이태식 | 2004.01.23 |
| [초간단 자바스크립트!] 자바로 로그인폼 만들기 [3] | ∑Ztxy | 2004.01.26 |
| 인풋(코멘트)창 크기 조정 | 정재원 | 2004.01.27 |
| [초간단 자바스크립트!] 자바로 홈페이지를부드럽게!!(1) [4] | ∑Ztxy | 2004.01.27 |
세이클럽 스크롤바
[7]
 | 세강 :D | 2004.02.01 |
| 앞,뒤,새로고침 만들기 [2] | piasol | 2004.02.01 |
| 주소창에 아이콘을 달자(다음,엠파스처럼) [3] | piasol | 2004.02.01 |
| Select 태그 관련 스크립트 [12] | Zective | 2004.02.04 |
| [초간단 자바스크립트!] 플래시 FullSize로 보여주기 [4] | ∑Ztxy | 2004.02.05 |
| 페이지 내에 주소창 달기 [1] | piasol | 2004.02.09 |
| BGM Player (배경 음악) [17] | 장진석 | 2004.02.16 |
| XML+JS 연동 다중셀렉트 | 투헤븐 | 2004.02.16 |
| 벅스뮤직 플레이어 스크립트 추출기 [4] | 이녀석 | 2004.02.16 |
| 우뚜같은 포워딩 페이지에서 프레임 깨기.(프레임 없애기) [17] | 김영성 | 2004.02.19 |
| 회원 가입 페이지 이젠 끝이다 [5] | 윌 | 2004.03.03 |
| 벅스뮤직 음악듣기 및 시작 정지 버튼 넣기(기타 음악파일도...) [3] | 카멜롯™ | 2004.03.04 |
| 방문자 OS보여주기 [5] | 구조반 | 2004.03.05 |
역시 먼가 이상했어