메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
신홍
동네바보
BuriBuri
스카라베
5
콜라~
6
bluewolf
7
아이케
8
늑대소냐
9
TECHSTAR
10
델리스파이스
11
작은소망
12
mos
13
쿠루쿠루
14
아이런
15
dhdlstjtr
16
솔바로
17
찬이아빠
18
이규하
19
근영사랑
20
가을비
21
박정환
22
별미일체
23
진호네
24
미미
25
인사동
26
물레
27
청주산의
28
우기77
29
fdsa
30
네모
SQL 인젝션 관련 보안패치
 technote notice
테크노트 공지사항
ㆍ작성일: 2011/01/05 (수)
SQL 인젝션 관련 보안패치

* 취약점 : SQL 인젝션 공격
 
* 패치대상 : TECHNOTE6  , TECHNOTE7
 
* 패치방법 :
    1. technote/lib.php  파일에서  아래와 같은 부분을 찾습니다.
         * TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
         * TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
         unset($Rconfig);
         unset($Mconfig);
         unset($Bconfig);
         unset($you_Manager);
         unset($you_Member);
         $board=preg_replace("/\W/",'',$board);
         $mboard=preg_replace("/\W/",'',$mboard);
         $no=preg_replace("/\D/",'',$no);
 
     2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
          if($sort) $sort=preg_replace("/\W/",'',$sort);
          if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);

          if($reply) $reply=preg_replace("/\W/",'',$reply);
          if($id) $id=preg_replace("/\s|\(/",'',$id);
          if($category) $category += 0;
          if($modify) $modify += 0;
          if($delnum) $delnum += 0;   

 

* 기타 :
    자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
    새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
    충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.