메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
신홍
작은소망
늑대소냐
아이케
5
근영사랑
6
스카라베
7
마나가
8
bluewolf
9
카스랑
10
화랑
11
콜라~
12
델리스파이스
13
BuriBuri
14
밤안개비
15
요나단
16
삼베
17
진호네
18
ㄹ루룰루ㅏ루ㅏㄹㄹ
19
준호
20
팔방보이
21
청주산의
22
보토스
23
휘앙새
24
네잎크로버
25
별미일체
26
이규하
27
네모
28
placard
29
꿈의나라
30
택이
SQL 인젝션 관련 보안패치
 technote notice
테크노트 공지사항
ㆍ작성일: 2011/01/05 (수)
SQL 인젝션 관련 보안패치

* 취약점 : SQL 인젝션 공격
 
* 패치대상 : TECHNOTE6  , TECHNOTE7
 
* 패치방법 :
    1. technote/lib.php  파일에서  아래와 같은 부분을 찾습니다.
         * TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
         * TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
         unset($Rconfig);
         unset($Mconfig);
         unset($Bconfig);
         unset($you_Manager);
         unset($you_Member);
         $board=preg_replace("/\W/",'',$board);
         $mboard=preg_replace("/\W/",'',$mboard);
         $no=preg_replace("/\D/",'',$no);
 
     2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
          if($sort) $sort=preg_replace("/\W/",'',$sort);
          if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);

          if($reply) $reply=preg_replace("/\W/",'',$reply);
          if($id) $id=preg_replace("/\s|\(/",'',$id);
          if($category) $category += 0;
          if($modify) $modify += 0;
          if($delnum) $delnum += 0;   

 

* 기타 :
    자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
    새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
    충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.