-
카테고리
-
세부 분야
보안
-
해결 여부
미해결
magic_quotes_gpc
22.03.29 22:46 작성 조회수 243
1
서버의 magic_quotes_gpc 가 On이면 sql injection 공격은 아예 못하는 건가요
답변을 작성해보세요.
1
크리핵티브
지식공유자2022.03.30
안녕하세요.
magic_quotes_gps 설정이 활성화가 될 경우도 공격이 가능합니다.
예를들면 ?idx=100 와 같이 숫자형으로 사용하는 입력 값에서는 공격이 가능합니다.
또한 , 인코딩 변환 로직이 존재할 경우 멀티 바이트 삽입을 통해 우회도 가능하며,
MYSQL에 대한 이스케이프 방법이고 MSSQL, ORACLE DBMS 사용 시는 그대로 공격이 가능해집니다.
그리고 개발자 설정과 꼬일 수도 있습니다.
그 외에도 여럿 이슈들이 있어서 최신 PHP 버전에서는 해당 설정이 제외 되었습니다.
답변 1