메인 공지사항 기능소개 매뉴얼     TEST BOARD : [1]  [2]  [3]  [4]  [5]
내용없음9
내용없음10
      Main Intro
메인

공지사항

기능소개

매뉴얼

  TEST BOARD
    [1] [2] [3] [4] [5]
최근 30일 POINT RANK
결제충전및 스킨매매 포인트 제외
신홍
작은소망
TECHSTAR
물안개너머
5
아이케
6
카스랑
7
테크노바
8
네모
9
늑대소냐
10
미미
11
아트리나
12
컴테이블
13
카우스
14
근영사랑
15
ekekekekek
16
상옥이
17
청주산의
18
서산
19
장백산
20
밤안개비
21
NE1
22
미래시대
23
김영호
24
봉구
25
neolife
26
피타스가
27
영해
28
mos
29
너울가지
30
보토스
SQL 인젝션 관련 보안패치
 technote notice
테크노트 공지사항
ㆍ작성일: 2011/01/05 (수)
SQL 인젝션 관련 보안패치

* 취약점 : SQL 인젝션 공격
 
* 패치대상 : TECHNOTE6  , TECHNOTE7
 
* 패치방법 :
    1. technote/lib.php  파일에서  아래와 같은 부분을 찾습니다.
         * TECHNOTE 6 버전은 148 ~ 158 번 라인입니다.
         * TECHNOTE 7 버전은 186 ~ 197 번 라인입니다.
         unset($Rconfig);
         unset($Mconfig);
         unset($Bconfig);
         unset($you_Manager);
         unset($you_Member);
         $board=preg_replace("/\W/",'',$board);
         $mboard=preg_replace("/\W/",'',$mboard);
         $no=preg_replace("/\D/",'',$no);
 
     2. 위 코드의 다음 라인에 아래 코드를 새로 추가합니다.
          if($sort) $sort=preg_replace("/\W/",'',$sort);
          if($rank_m_id) $rank_m_id=preg_replace("/\W/",'',$rank_m_id);

          if($reply) $reply=preg_replace("/\W/",'',$reply);
          if($id) $id=preg_replace("/\s|\(/",'',$id);
          if($category) $category += 0;
          if($modify) $modify += 0;
          if($delnum) $delnum += 0;   

 

* 기타 :
    자체적으로 스킨이나 빌더 제작 하실때에도 URL 에 어떤 변수를 실어 보내는 형식의
    새로운 구문(원본 형식에는 없는)을 작성하셨다면, 해당 변수가 인젝션 공격 우려가 있는지
    충분히 검토하시고 조금이라고 우려가 되는 변수라면 위와 같이 필터링을 해 주시기 바랍니다.