관리자님 - 보안관련 - 꼭 보세요.

letsgolee

· 17년 전 · 조회 1229 1229 · 댓글 4 4

관리자님:

common.php 의

// PHP 4.1.0 부터 지원됨
// php.ini 의 register_globals=off 일 경우
@extract($_GET);
@extract($_POST);
@extract($_SERVER);

를

// 경로의 오류를 없애기 위해 $g4_path 변수는 해제
unset($g4_path);

아래로 내려 보시기 바랍니다.

-------------------------------------------------------

다음과 같은 패치를 말씀하셨는데 이건 더 위험합니다. 쪽지를 보낼 방법이 없어 자유게시판에 남깁니다. 이 글을 보는 즉시 수정 부탁합니다. 왜 비밀글 옵션이 없나요? 밑에 코멘트를 참조해 주세요.

글쓰기

댓글 4개

letsgolee

프로필 보기 이 회원 글보기 이 회원의 댓글보기

17년 전

예로 http://sir.co.kr?g4[path]=aa를 해 보세요. $g4 수정이 가능해집니다.

extrac()이 다음 소스 밑으로 내려가면 절대 안됩니다.

$config = array();
$member = array();
$board = array();
$group = array();
$g4 = array();

차라리 좋은 답이 떠오르기 전에 가장 위에 unset($_GET['g4_path'])를 추가하는 것이 낫지 않을까 싶네요.