SQL Injection 취약점을 이용한 공격 방아하기 ASP, PHP
SQL Injection 처리 관련 ASP, PHP 함수 이다.
내용 입력시 FCK Editor 를 사용할 경우 ASP 경우 ';' 처리 부분을 주석처리 해야한다.
ASP 함수의 경우 부분적으로 MS-SQL 관련 처리를 포함하고 있다.
PHP 경우는 정규식으로 만들었다.
## ASP
function SQL_Injection( get_String )
get_String = REPLACE( get_String, "'", "''" )
get_String = REPLACE( get_String, ";", "" )
get_String = REPLACE( get_String, "--", "" )
get_String = REPLACE( get_String, "select", "", 1, -1, 1 )
get_String = REPLACE( get_String, "insert", "", 1, -1, 1 )
get_String = REPLACE( get_String, "update", "", 1, -1, 1 )
get_String = REPLACE( get_String, "delete", "", 1, -1, 1 )
get_String = REPLACE( get_String, "drop", "", 1, -1, 1 )
get_String = REPLACE( get_String, "union", "", 1, -1, 1 )
get_String = REPLACE( get_String, "and", "", 1, -1, 1 )
get_String = REPLACE( get_String, "or", "", 1, -1, 1 )
get_String = REPLACE( get_String, "1=1", "", 1, -1, 1 )
get_String = REPLACE( get_String, "sp_", "", 1, -1, 1 )
get_String = REPLACE( get_String, "xp_", "", 1, -1, 1 )
get_String = REPLACE( get_String, "@variable", "", 1, -1, 1 )
get_String = REPLACE( get_String, "@@variable", "", 1, -1, 1 )
get_String = REPLACE( get_String, "exec", "", 1, -1, 1 )
get_String = REPLACE( get_String, "sysobject", "", 1, -1, 1 )
SQL_Injection = get_String
end function
## PHP
function SQL_Injection($get_Str) {
return eregi_replace("( select| union| insert| update| delete| drop|\"|\'|#|\/\*|\*\/|\\\|\;)",
"", $get_Str);
}