취미가 좋다

SQL 인젝션 본문

개발 기타/테크톡

SQL 인젝션

benlee73 2021. 9. 24. 19:11

SQL 인젝션이란?

데이터 베이스와 연동된 웹 어플리케이션에서 공격자가 입력이 가능한 폼에 조작된 질의문을 삽입하여 웹 서비스의 데이터베이스 정보를 열람 또는 조작할 수 있는 취약점

 

풀어서 설명하자면,

사용자가 게시글을 올리거나 아이디와 비밀번호를 입력할 수 있는 환경이 있다.

 

그러한 웹 서버는 데이터 베이스와 연결되어 있다.

 

그곳에 공격자가 SQL문을 사용하여 원하는 데이터를 얻거나 삭제하는 공격이 가능하다.

 

이러한 공격을 SQL 인젝션이라고 한다.

 

 

아래와 같이 게시글에 글을 작성하면 SQL 문이 생성되는데 이를 활용한 공격이다.

 

 

Character Escaping 이라는 방법으로 이를 방지할 수 있다.

프레임워크나 라이브러리는 이런 기능을 자동으로 제공한다.

 

또는 Parameter Binding이나 받은 데이터를 필터링하는 과정을 통해 보안을 강화하는 부분이 꼭 필요하다.

https://youtu.be/tGqL5ahQ1_Q

 

'개발 기타 > 테크톡' 카테고리의 다른 글

JVM의 Garbage Collector  (0) 2022.02.15
Forward Proxy, Reverse Proxy, Load Balancer  (0) 2021.10.04
MySQL & Oracle & MariaDB & PostgreSQL 비교  (0) 2021.09.28
[테코톡] Process vs Thread  (0) 2021.08.25
'개발 기타/테크톡' Related Articles more
Comments