[Concept] PHP의 이스케이프 처리함수 목록

escape_string(string);

real_escape_string(string);

mysql_real_escape_string(string);

  → '   "    \    \x00    \x1a(EOF)   \n    \r    에 대해서 이스케이프를 추가한다.

 

 

---

 

addslashes(string)

  → '   "   \    \x00   에 대해서 이스케이프를 추가한다.

 

---

 

magic_quotes_gpc

   → GET, POST, COOKIE에 자동으로 addslashes()를 적용해준다.

 

 

 

대표적인 우회기법으로는 MultiByte Encoding이 있는데,

전제조건으로 GBK인코딩이 되어있거나, EUC-KR을 UTF-8로 인코딩하는 내용이 포함되어 있어야 한다.

 

원리는 %bf%27을 하게되면 %27이 %5c%27이 되는데,

이 떄 %bf%5c가 결합되면서 %27만 남게되는 원리이다.