삶 가운데 남긴 기록 AACII.TISTORY.COM

SQL Injection: mybatis Data Map 정의 외부 입력 값이 SQL 의 인자값으로만 사용되지 않고 문자열로 연결되는 값으로 사용되면 SQL문에 Injection 되어 의도하지 않은 동작을 할 수 있게 됩니다. 방어 방법 외부 입력 값에 대해 안전하지 않은 문자열을 제거하도록 합니다. mybatis Data Map 에 문자열 삽입 인자($...$)를 사용하지 말고 ## 형태를 사용합니다. 안전하지 않은 예 DELETE STUDENTS WHERE NUM = #num# AND name = '$name$' $name$ 으로 전달되는 값에 ' OR 'x' = 'x' 를 외부 입력으로 전달되면 where조건이 항상 실행하게 할 수 있습니다. 안전한 코드의 예 DELETE STUDENTS WHERE..

SQL Injection 사용자의 입력값에 Query를 직접 입력해서 쿼리 구조를 바꾸어 개발자가 의도하지 않은 동작을 수행하게 하는 공격 기법입니다. 예) ID를 guest ' OR 'a'='a' -- 으로 설정 한경우 쿼리가 아래처럼 생성되어 Where절이 항상 참이므로 비번 없이 로그인에 성공할 수 있습니다. SELECT * FROM members WHERE userId='guest' OR 'a'='a' -- AND paseword = ... preparedStatement 클래스를 사용해서 미리 컴파일된 쿼리를 사용해 쿼리를 동적으로 생성할 수 없게 해서 방어합니다. String query = "SELECT * FROM ? WHERE NAME = ?"; pstmt con.prepareStateme..