웹마스터 팁
PHP에서의 SQL문 보안취약성
2002.09.09 14:44
CERTCC 메일링 리스트에서 받은 내용인데.. 제로보드도 예외가 아니라고 하더군요...
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
댓글 5
-
inging-zb41
2002.09.09 20:32
-
토끼군
2002.09.09 17:32
다행히도 제가 사용하는 계정은 magic_quotes_gpc=on입니다. :-) -
zero
2002.09.09 15:05
예~ 우리나라에서는 php설치할때 php-dist.ini 파일을 가지고 php.ini로 변경, 적용하기 때문에 거의 문제가 없을거에요.
php-recommend.ini 파일의 경우 magic_quotes_gpc가 off되어 있는데, php-dist.ini 파일에서는 기본적으로 on 되어 있기 때문입니다.
magic_quotes_gpc가 off일 경우 속도상의 장점이 조금 있다고 하지만;; on 해 놓는것이 더 좋을거 같네요. -
nos
2002.09.09 15:27
저 같은 경우는 가비아(gabia.com)에서 웹 호스팅을 받고 있습니다.
위 링크에 나와있는 보안상의 문제가 적용이 되더군요.
즉, 관리자 아이디와 비밀번호를 몰라도 관리자로 로그인이 되는 경우 입니다.
일단 링크에 나와있는 해결책에 따라
login_check.php 파일 앞부분을 수정 하였습니다.
$user_id = mysql_escape_string(trim($user_id));
$password = mysql_escape_string(trim($password));
수정후 이 문제는 해결 되었습니다.
이 후 제가 어떤 조치를 취해야 할 지..잘 모르겠네요 ^^;;; -
nos
2002.09.10 23:22
결국 오늘 가비아측에 전화해서
magic_quotes_gpc=off 에서 magic_quotes_gpc=on 로 바꾸도록 했습니다.
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| 레드헷 계열 사용하시는 분들 웹서버에 대해서...(APM연동) [11] | lanyan | 2002.09.10 |
| [re] 레드헷 계열 사용하시는 분들 웹서버에 대해서...(APM연동) | Dopesoul | 2002.09.14 |
| PHP에서의 SQL문 보안취약성 [5] | 김영빈 | 2002.09.09 |
[Apache] 윈도우 NT 계열에 서비스 등록하기
[1]
 | 스카이 | 2002.09.08 |
| What is the MRTG? [4] | Dopesoul | 2002.09.06 |
| 강좌는 아니지만, 제가 쓸 강좌가 어떤방향으로 나아가야하는지를 잘 모르겠습니다. 그래서 글올립니다. [4] | Dopesoul | 2002.09.06 |
| 웹호스팅의 꽃 APM 완벽설치 가이드 (linux) | BJ | 2002.09.05 |
| 포트 번호 없이 도메인 연결하기. [15] | Winnie | 2002.08.27 |
| 남구스의 DB 백업 쉘 스크립 [1] | 김남규 | 2002.08.27 |
| 남구스의 DNS/POP3/계정추가 쉘스크립 [2] | 김남규 | 2002.08.27 |
| 웹호스팅의 꽃 A.P.M.~ 을 알아보자! (1부) [9] | 임현 | 2002.08.25 |
| 무단링크를 방지하여 트래픽을 줄이기(아파치) [5] | 착한마음™ | 2002.08.24 |
| APM 자동설치 프로그램 [4] | Captain DirtBuster | 2002.08.24 |
| 웹호스팅 세팅기 1편 - 설치하기(2부) [3] | 임현 | 2002.08.22 |
| 웹호스팅 세팅기 1편 - 설치하기(1부) [16] | 임현 | 2002.08.22 |
| win2k, apache2.0.40 + php-4.2.2로 업글하기 | ZIO | 2002.08.20 |
| [APM설치]윈도우에서 웹서버 세팅하기 [49] | 김영남 | 2002.08.14 |
| 루트만 이용할수있게 바꿔야하는 명령어들 몇가지 [3] | 임현 | 2002.08.14 |
| 웹호스팅 세팅기 [8] | 임현 | 2002.08.13 |
|
MSSQL 2000 Enterprise Edition 설치하기
[7]
| DearMai | 2002.08.12 |
역시 먼가 이상했어