웹마스터 팁
PHP에서의 SQL문 보안취약성
2002.09.09 14:44
CERTCC 메일링 리스트에서 받은 내용인데.. 제로보드도 예외가 아니라고 하더군요...
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
근데 우리서버엔 아무렇지도 않던뎅,..
Sung-jin Yun <chaos@ecrobot.com>
안녕하세요..
제가 얼마전에 작성해 두었던 문서인데, 여기 메일링 리스트에는 처음 올리네요.
magic_quotes_gpc 옵션이 Off인 상태에서 작동되는 DBMS연동 PHP 프로그램에 해당되는
보안 문제입니다. 이 문제점을 이용하면 비밀번호를 몰라도 게시판의 관리자 아이디로 로그인을
한다든가 하는 것이 가능해집니다.
http://lab.ecrobot.com/advisories/ec2002080801/
댓글 5
-
inging-zb41
2002.09.09 20:32
-
토끼군
2002.09.09 17:32
다행히도 제가 사용하는 계정은 magic_quotes_gpc=on입니다. :-) -
zero
2002.09.09 15:05
예~ 우리나라에서는 php설치할때 php-dist.ini 파일을 가지고 php.ini로 변경, 적용하기 때문에 거의 문제가 없을거에요.
php-recommend.ini 파일의 경우 magic_quotes_gpc가 off되어 있는데, php-dist.ini 파일에서는 기본적으로 on 되어 있기 때문입니다.
magic_quotes_gpc가 off일 경우 속도상의 장점이 조금 있다고 하지만;; on 해 놓는것이 더 좋을거 같네요. -
nos
2002.09.09 15:27
저 같은 경우는 가비아(gabia.com)에서 웹 호스팅을 받고 있습니다.
위 링크에 나와있는 보안상의 문제가 적용이 되더군요.
즉, 관리자 아이디와 비밀번호를 몰라도 관리자로 로그인이 되는 경우 입니다.
일단 링크에 나와있는 해결책에 따라
login_check.php 파일 앞부분을 수정 하였습니다.
$user_id = mysql_escape_string(trim($user_id));
$password = mysql_escape_string(trim($password));
수정후 이 문제는 해결 되었습니다.
이 후 제가 어떤 조치를 취해야 할 지..잘 모르겠네요 ^^;;; -
nos
2002.09.10 23:22
결국 오늘 가비아측에 전화해서
magic_quotes_gpc=off 에서 magic_quotes_gpc=on 로 바꾸도록 했습니다.
| 제목 | 글쓴이 | 날짜 |
|---|---|---|
| [FreeBSD] qmail+mysql+vpopmail+qmailadmin 설치 [1] | DeX™ | 2002.11.26 |
Apache + PHP + Mysql확실한 연동 및 리눅스 재설치 정보
[2]
 | 최종우 | 2002.11.26 |
| 리눅스 서버를 구축해 보자! #1 [11] | 꼬토 | 2002.11.21 |
| 보안설정을 하다^^ 유의할점. [3] | Dopesoul | 2002.10.14 |
| 나만의 ftp서버 만들기 제2부 -serv-u 4.0- [12] | 레드 | 2002.10.09 |
|
자동 apm 설치 쉘스크립트(리눅스)
[5]
| 김동현 | 2002.09.15 |
| PHP에서의 SQL문 보안취약성 [5] | 김영빈 | 2002.09.09 |
|
[Apache] 윈도우 NT 계열에 서비스 등록하기
[1]
| 스카이 | 2002.09.08 |
| What is the MRTG? [4] | Dopesoul | 2002.09.06 |
| 웹호스팅 세팅기 1편 - 설치하기(2부) [3] | 임현 | 2002.08.22 |
|
FTP 에 사용자추가후 로그인부분 추가하기 - 로그인 부분
[2]
| DearMai | 2002.08.12 |
|
FTP 에 사용자추가후 로그인부분 추가하기 - 사용자추가부분
[5]
| DearMai | 2002.08.12 |
|
ASP + MS SQL 기반 게시판 설치하기 - 두번째
| 오픈소스 | 2002.07.12 |
|
ASP + MS SQL 기반 게시판 설치하기 - 첫번째
| 오픈소스 | 2002.07.12 |
| [알아서 나쁠것없는 10원짜리 팁!] 수십 수백명사용자의 일괄생성 방법! [6] | 임현 | 2002.05.09 |
| 리눅스 아주 간단한 사용자 계정 주기-_- [7] | i- | 2002.03.12 |
| 관리자모드 - 관리자그룹만 모든 회원리스트보기 [2] | 이지혜609 | 2007.10.23 |
| 포인트부여시 ...회원로그인 [2] | 구본순 | 2007.08.28 |
|
mysql 관리하는 프로그램입니다. (7/26 13:03) 수정
[4]
| 제로저아 | 2007.07.18 |
| mysql 안쓰는 간단한 게시판. [20] | 제로저아 | 2007.07.15 |
역시 먼가 이상했어