• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    미해결

magic_quotes_gpc

22.03.29 22:46 작성 조회수 243

1

서버의 magic_quotes_gpc 가 On이면 sql injection 공격은 아예 못하는 건가요
 
course-thumbnail

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

[실습3-1] PHP 기반 로그인 기능 제작

강의실 바로가기

답변 1

답변을 작성해보세요.

1

크리핵티브님의 프로필

크리핵티브

지식공유자

2022.03.30

안녕하세요.

magic_quotes_gps 설정이 활성화가 될 경우도 공격이 가능합니다.

예를들면 ?idx=100 와 같이 숫자형으로 사용하는 입력 값에서는 공격이 가능합니다.

또한 , 인코딩 변환 로직이 존재할 경우 멀티 바이트 삽입을 통해 우회도 가능하며,

MYSQL에 대한 이스케이프 방법이고 MSSQL, ORACLE DBMS 사용 시는 그대로 공격이 가능해집니다.

그리고 개발자 설정과 꼬일 수도 있습니다.

그 외에도 여럿 이슈들이 있어서 최신 PHP 버전에서는 해당 설정이 제외 되었습니다.

gdh님의 프로필

gdh

질문자

2022.03.30

감사합니다

이 글과 비슷한 Q&A