[SQL Injection] 그누보드에 적용된 SQL 인젝션 대응코드 > 기술자료 | 해피정닷컴

[SQL Injection] 그누보드에 적용된 SQL 인젝션 대응코드 > 기술자료

본문 바로가기

사이트 내 전체검색

[SQL Injection] 그누보드에 적용된 SQL 인젝션 대응코드 > 기술자료

그누보드 [SQL Injection] 그누보드에 적용된 SQL 인젝션 대응코드

페이지 정보


본문


// Blind SQL Injection 취약점 해결
$sql = trim($sql);
// union의 사용을 허락하지 않습니다.
//$sql = preg_replace("#^select.*from.*union.*#i", "select 1", $sql);
$sql = preg_replace("#^select.*from.*[\s\(]+union[\s\)]+.*#i ", "select 1", $sql);
// `information_schema` DB로의 접근을 허락하지 않습니다.
$sql = preg_replace("#^select.*from.*where.*`?information_schema`?.*#i", "select 1", $sql);


// 사용자 입력을 필터링하여 적절한 형식인지 확인
// http://www.w3bai.com/ko/php/filter_sanitize_string.html#gsc.tab=0
// http://www.w3bai.com/ko/php/php_ref_filter.html#gsc.tab=0
// https://www.php.net/manual/en/function.filter-var.php
$comment = $_POST['comment'];
$comment = filter_var($comment, FILTER_SANITIZE_STRING); // 문자열에서 태그 / 특수 문자를 제거합니다
$comment = filter_var($comment, FILTER_SANITIZE_NUMBER_INT); // 숫자와 +를 제외한 모든 문자를 제거합니다 -


// 데이터베이스로부터 가져온 변수 출력 시 HTML 이스케이프 적용
// https://www.php.net/manual/en/function.htmlspecialchars.php
echo htmlspecialchars(comment, ENT_QUOTES, 'UTF-8');


//
$type = isset($_REQUEST['type']) ? preg_replace("/[\<\>\'\"\\\'\\\"\%\=\(\)\s]/", "", $_REQUEST['type']) : '';
 

댓글목록

등록된 댓글이 없습니다.


Total 2,634건 1 페이지
  • RSS
기술자료 목록
열람
그누보드   26  2024-11-26 21:14 ~ 2024-11-26 21:22  
2633
그누보드   71  2024-11-22 10:52 ~ 2024-11-22 11:03  
2632
호스팅   107  2024-11-19 14:41 ~ 2024-11-19 21:17  
2631
Linux   85  2024-11-18 15:45 ~ 2024-11-18 15:48  
2630
일반   89  2024-11-15 16:45 ~ 2024-11-15 16:46  
2629
Secure   137  2024-11-06 18:48 ~ 2024-11-06 18:50  
2628
영카트   282  2024-10-21 13:44 ~ 2024-10-21 19:42  
2627
전자결제   544  2024-09-05 09:30  
2626
MySQL   947  2024-03-29 14:14 ~ 2024-03-29 14:14  
2625
그누보드   1174  2024-02-23 18:40 ~ 2024-02-24 06:13  
2624
JavaScript   1272  2024-02-16 18:50 ~ 2024-02-16 20:37  
2623
Java   1223  2024-02-06 16:49  
2622
PHP   1391  2024-02-06 16:42  
2621
호스팅   1237  2024-01-29 12:54  
2620
PHP   1299  2024-01-26 11:04 ~ 2024-01-26 11:13  
2619
MySQL   1501  2024-01-08 17:37 ~ 2024-03-14 16:00  
2618
SQL   1606  2024-01-08 12:36  
2617
영카트   1673  2024-01-04 14:57  
2616
일반   2571  2023-12-15 18:33  
2615
Android   2060  2023-11-30 18:48 ~ 2023-11-30 19:41  

검색

해피정닷컴 정보

회사소개 회사연혁 협력사 오시는길 서비스 이용약관 개인정보 처리방침

회사명: 해피정닷컴   대표: 정창용   전화: 070-7600-3500   팩스: 042-670-8272
주소: (34368) 대전시 대덕구 대화로 160 대전산업용재유통단지 1동 222호
개인정보보호책임자: 정창용   사업자번호: 119-05-36414
통신판매업신고: 제2024-대전대덕-0405호 [사업자등록확인]  
Copyright 2001~2024 해피정닷컴. All Rights Reserved.