SQL Injection을 막기 위한 PHP 설정이라면, magic_quotes_gpc이다.
보통 공격을 위해 홑따옴표('; single quotes)를 사용하는데, 이 설정을 켜면 그 글자를 이스케이핑 문자로 처리한다.
쉽게 말하면, '라는 문자가 올 경우 addslashes() 함수를 적용해 \'로 강제 치환해버린다.
하지만 이 설정은 get/post/cookie에서만 작동하며, DB 등에서 읽어들인 문자열은 처리하지 않는다.
이 설정을 이용하는 것보단 mysql_real_escape_string과 같은 함수를 이용하는 것을 권고한다.
'[Wargame Write-up] > CodeEngn Challenges' 카테고리의 다른 글
| [CodeEngn Challenges] Malware Analysis 06 (0) | 2016.10.11 |
|---|---|
| [CodeEngn Challenges] Malware Analysis 05 (0) | 2016.10.10 |
| [CodeEngn Challenges] Malware Analysis 03 (0) | 2016.10.08 |
| [CodeEngn Challenges] Advance RCE 09 (0) | 2016.10.05 |
| [CodeEngn Challenges] Malware Analysis 02 (0) | 2016.10.05 |
