정보보안 스터디 - 5주차 4일 - php 게시판 제작 (feat. Lord of SQL Injection)

 

게시판 제작

 

 

로그인을 하면 메인화면으로 이동하고, 게시판으로 이동하게 만든 모습입니다.

로그인 세션이 없다면 게시판 글을 볼 수 없습니다.

 

 

 

메인 게시판 제작

기본적으로 이렇게 테이블로 감싸줘서 리스팅을 합니다.

30글 중에 10개의 글만 최신순으로 나오도록 설정합니다. 

작성일자는 작성한 시간을 빼고 연도,월,일 까지만 뽑아냅니다.

 

페이지번호는 주소 검색 기능과 같은 방법으로 제작합니다.

처음으로/마지막으로 이동하는 아이콘만 추가합니다.

 

웹폰트 노토산스를 가져왔고, 아이콘도 cdn으로 웹에서 가져옵니다.

링크에 마우스를 올렸을 때 빨간색이 됩니다.

 

 

 

글 쓰기 제작

글을 작성하고, 글 작성 쿼리 페이지로 이동합니다.

 

 

 

글 보기 제작

제목을 클릭하면 글 번호로 가져오기 때문에 

글번호가 맞다면 정보를 불러옵니다.

 

글삭제

 

비밀번호를 입력하면 비밀번호와 숨겨진 글 번호값을

delete.php 로 이동시킵니다. 

 

비밀번호가 틀리다면 알림창으로 경고를 주고, 뒤로 돌립니다.

이 때 입력한 비밀번호가 유지됩니다.

 

맞다면 글을 삭제하고 list.php로 이동시킵니다.

 

 

 

글 수정 제작

글쓰기와 마찬가지 페이지로 이동하지만

글 내용이 있다면 불러옵니다.

 

여기서 과거에 작성됐던 글과, 

신규 추가글로 나뉘는데

 

작성됐던 글이라면 업데이트를 해주고,

 

신규 추가글이라면

현재 날짜, 시각, ip를 포함해서 DB에 정보를 삽입합니다.

 

 

 

 

 

---

 

 

 

Lord of SQL Injection: gremlin

 

 

 

들어가자마자 처음 뜨는 php코드 입니다.

코드와 SQL 쿼리까지 공개해서 아주 쉽겠구나 생각했지만,

해당 코드의 기능들을 모두 검색해서 알아봐야 합니다.

 

아마 메인페이지에서 SQL Injection을 시도하면 될 듯한데

필터링된 부분에서 막혔습니다.

'을 넣어도 no hack이라고 뜨고,

 

실제로 저 코드로 php를 똑같이 만들어봐도

No hack이라는 페이지가 뜨지 않습니다.

 

내일 더 실제 환경을 만들고 연구해봐야겠습니다.