? 플레이스 홀더 문자
354
작성한 질문수 8
매게변수를 지정한 구문은 인젝션 할 방법이 없는건가요?
요즘은 대부분 매게변수를 받아서 쿼리문을 만드는데
이런 식으로 말이죠
공격이 불가능하다면 모든 입력받는 매게변수를 받으면 sql인젝션 공격 방법이 무의미한 것 아닌가요?
답변 1
0
안녕하세요.
Prepared Statement는 SQL 인젝션의 대응방법입니다. 이 방법은 아직 우회 기법은 없습니다.(물론 취약하게 코딩할 경우 제외) 만약 이 방법이 우회가 된다면 전 세계적으로 큰 이슈가 되겠죠.ㅎ
말씀하신대로, 해당 웹 서비스에서 모든 입력 값에 대해 Prepared Statement 처리를 하면 안전합니다.
그러나 Prepared Statement가 적용될 수 없는 경우도 있습니다.(이부분은 강의에서 설명을 드렸습니다.)
모든 웹 서비스의 모든 입력 값에서 Prepared Statement로 처리가 되면 모든 웹 서비스는 SQL 인젝션에 안전하기 때문에 SQL 인젝션이란 기술은 의미가 없게 됩니다.
그러나 그렇게 될 수는 없습니다. SQL 인젝션은 웹 서비스의 범주에서만 가능한 공격이 아니며 데이터베이스와 연동 되어 있는 모든 어플리케이션에서도 가능합니다. 또한 웹 서비스를 개발하는 개발자들이 경우에 따라선 Prepared Statement를 사용하지 않는 경우들도 있습니다.
MsSql php 연결 문의
0
34
1
APMSETUP 대신에 bitnami를 사용해도 되나요?
0
36
1
질문드립니다
0
108
3
PHP 기갑 게시판 설치에서 오라클 게시판 오류
0
104
2
업데이트 부탁드립니다.
0
196
1
강의 환경설정 MSSQL 문제
0
174
1
In-line Query 와 Terminating Query
0
173
2
Prepared Statement 대응방안 궁금사항 질문있습니다!
0
141
2
게시판에서 oracle만 오류가 나는 이유를 모르겠어요
0
172
2
질문
0
179
2
쿼리 결과 오류
1
347
2
오라클 php 연동이 도저히 안됩니다.
0
539
1
Json으로 데이터를 주고 받을 때 인젝션
1
615
1
case when 구문의 활용(2) 부분 질문 있습니다.
1
613
2
주석처리 관련 질문드립니다.
1
305
2
php & mssql 연동이 안됩니다.
2
534
2
xampp 최신버전 oracle 연동방법, 겪은 오류 정리
2
674
2
가상머신환경
1
307
2
현재 SQL 인젝션 강의를 듣고 있어요
0
230
1
mysql case when 구문이용
1
395
1
실습환경 오류 발생시 봐주세요!
0
333
1
php 버전 호환 문제
1
292
1
SQL이나 XSS 실습 서버
1
374
2
mysql 연결연산자 질문드립니다.
1
453
2