삶 가운데 남긴 기록 AACII.TISTORY.COM

SQL Injection 사용자의 입력값에 Query를 직접 입력해서 쿼리 구조를 바꾸어 개발자가 의도하지 않은 동작을 수행하게 하는 공격 기법입니다. 예) ID를 guest ' OR 'a'='a' -- 으로 설정 한경우 쿼리가 아래처럼 생성되어 Where절이 항상 참이므로 비번 없이 로그인에 성공할 수 있습니다. SELECT * FROM members WHERE userId='guest' OR 'a'='a' -- AND paseword = ... preparedStatement 클래스를 사용해서 미리 컴파일된 쿼리를 사용해 쿼리를 동적으로 생성할 수 없게 해서 방어합니다. String query = "SELECT * FROM ? WHERE NAME = ?"; pstmt con.prepareStateme..