그누보드는 sql 인젝션을 어떻게 방지하나요??
사용자가 스킨에 여분필드를 사용할대
<input type="text" name="wr_1"> 이런식으로 사용을 하잖아요...
저장될때 보면 그냥 $wr_1 변수가 바로 쿼리문에 들어가던데요..
그리고 인터넷상에서 sql 인젝션 강좌대로 해보면 안먹히네요.. ' 이런것은 /' 이렇게 처리가 되구요.. apm_setup6 버전입니다..
따로 select update delete 등이나 이것저것 걸러내야 할텐데..
그누소스를 봐도 보면서 지나치는건지.. 제눈에 먹물이 묻어있는건지.. 도통 보이질 않네요--;;
혹시 아시는분 계시나요??
추가로.. 개인적으로 인젝션 방지할때 사용하시는 함수등이 있으신지.. 예를 들어 문자걸러내는...
<input type="text" name="wr_1"> 이런식으로 사용을 하잖아요...
저장될때 보면 그냥 $wr_1 변수가 바로 쿼리문에 들어가던데요..
그리고 인터넷상에서 sql 인젝션 강좌대로 해보면 안먹히네요.. ' 이런것은 /' 이렇게 처리가 되구요.. apm_setup6 버전입니다..
따로 select update delete 등이나 이것저것 걸러내야 할텐데..
그누소스를 봐도 보면서 지나치는건지.. 제눈에 먹물이 묻어있는건지.. 도통 보이질 않네요--;;
혹시 아시는분 계시나요??
추가로.. 개인적으로 인젝션 방지할때 사용하시는 함수등이 있으신지.. 예를 들어 문자걸러내는...
|
댓글을 작성하시려면 로그인이 필요합니다.
로그인
댓글 3개
상단부분
//
// phpBB2 참고
// php.ini 의 magic_quotes_gpc 값이 FALSE 인 경우 addslashes() 적용
// SQL Injection 등으로 부터 보호
//
아래 내용을 살펴보세요
POST와 GET 그리고 COOKIE에서 가져오는 변수들에 addslashes가 적용되는 것으로 이해하겠는데요.. 그렇다면.. 스킨에 common.php 파일이 포함된곳은 따로 처리하지 않아도 되는것이고 포함되지 않은 곳에만 따로 처리를 해주면 되겠군요..
답변 감사합니다.