반응형 04. 시큐어코딩28 시큐어코딩(1) - SQL Injection 1. 정의 SQL 삽입(Improper Neutralization of Special Elements used in an SQL Command, SQL Injection) 데이터베이스와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점을 말함. 취약한 웹 어플리케이션에서는 사용자로부터 입력된 값을 필터링 과정없이 넘겨받아 동적 쿼리(Dynamin Query)를 생성한다. 이는 개발자가 의도하자ㅣ 않은 쿼리가 생성되어 정보유출에 악용될 수 있다. 2. 해결방법 - preparedStatement 클래스와 하위 메소드 executeQuery(), execute(), .. 2017. 11. 14. 이전 1 2 3 4 다음 반응형