메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
신홍
쿠루쿠루
근영사랑
아이케
5
늑대소냐
6
네모
7
작은소망
8
화랑
9
일과여행
10
진호네
11
아크나톤
12
청주산의
13
서산
14
bluewolf
15
동네바보
16
신태원
17
봉쌤
18
종태기
19
이규하
20
서대산지기
21
팔방보이
22
물안개너머
23
roadlife
24
Terrorboy
25
TECHSTAR
26
준호
27
상옥이
28
카우스
29
가을비
30
Sphinx
SQL 인젝션 관련 보안패치
 technote notice
테크노트 공지사항
ㆍ작성일: 2011/01/05 (수)
SQL 인젝션 관련 보안패치

* 취약점 : SQL 인젝션 공격
 
* 패치대상 : TECHNOTE6  , TECHNOTE7
 
* 패치방법 :
    1. technote/lib.php  파일에서  아래와 같은 부분을 찾습니다.
         * TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
         * TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
         unset($Rconfig);
         unset($Mconfig);
         unset($Bconfig);
         unset($you_Manager);
         unset($you_Member);
         $board=preg_replace("/\W/",'',$board);
         $mboard=preg_replace("/\W/",'',$mboard);
         $no=preg_replace("/\D/",'',$no);
 
     2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
          if($sort) $sort=preg_replace("/\W/",'',$sort);
          if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);

          if($reply) $reply=preg_replace("/\W/",'',$reply);
          if($id) $id=preg_replace("/\s|\(/",'',$id);
          if($category) $category += 0;
          if($modify) $modify += 0;
          if($delnum) $delnum += 0;   

 

* 기타 :
    자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
    새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
    충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.