<div class="type-placeholder" style="font-size: 15px; letter-spacing: -0.3px; color: #abb0b5; white-space: pre-wrap;">서버의 magic_quotes_gpc 가 On이면 sql injection 공격은 아예 못하는 건가요</div>
<div class="type-placeholder" style="font-size: 15px; letter-spacing: -0.3px; color: #abb0b5; white-space: pre-wrap;">&nbsp;</div>

<p>안녕하세요.</p>
<p>magic_quotes_gps 설정이 활성화가 될 경우도 공격이 가능합니다.</p>
<p>예를들면 ?idx=100 와 같이 숫자형으로 사용하는 입력 값에서는 공격이 가능합니다.</p>
<p>또한 , 인코딩 변환 로직이 존재할 경우 멀티 바이트 삽입을 통해 우회도 가능하며,</p>
<p>MYSQL에 대한 이스케이프 방법이고 MSSQL, ORACLE DBMS 사용 시는 그대로 공격이 가능해집니다.</p>
<p>그리고 개발자 설정과 꼬일 수도 있습니다.</p>
<p>그 외에도 여럿 이슈들이 있어서 최신 PHP 버전에서는 해당 설정이 제외 되었습니다.</p>

인프런 커뮤니티 질문&답변

magic_quotes_gpc