목록2022/09/17 (1)
늘
SQL Injection 그리고 PreparedStatement
SQL 인젝션이란? 데이터베이스와 연동된 웹 애플리케이션에 공격자가 입력이 가능한 폼에 조작된 질의문 삽입하여 디비 정보 열람 및 정보를 조작하는 공격 단순한 기법이지만 강력한 공격이어서 반드시 주의해야 한다! 예방 방법 에러처리를 잘해서 테이블 정보를 사용자들에게 공개하지 않도록 해야한다. 테이블 정보 노출 및 컬럼 노출로 sql쿼리 작성이 가능하기 때문이다. 방어 방법 파라미터 바인딩! 직접 쿼리를 작성하지 않고 파라미터 바인딩을 사용하면 된다. 예시를 들어 설명해보겠다. SQL Injection에 취약한 코드 statement = connection.createStatemnt(); String query = "SELECT * FROM USERS WHERE name = '" + loginName + ..
우아한테크코스 4기
2022. 9. 17. 12:10