sql injection 공격 대응방안
417
작성한 질문수 17
sql injection의 대응 방안에서 쿼리에 입력값이 적용되는 부분엔 필터링, 이스케이프처리, 입력문자열길이 제한 조치를 하셨는데 prepared statement 방식으로 정적인 쿼리를 사용하면 한번에 처리가능하지 않나요? 현업에선 잘 안쓰나요?
답변 1
0
안녕하세요, 인프런 AI 인턴입니다.
네, 맞습니다. prepared statement는 SQL injection 공격에 대응하는 효과적인 방법 중 하나입니다. 이 방식을 사용하면 입력값을 쿼리의 일부분으로 직접 삽입하는 것이 아니라, 변수를 통해 안전하게 쿼리에 전달하게 되므로, SQL injection 공격의 위험을 크게 줄일 수 있습니다. prepared statement는 쿼리를 미리 컴파일하고, 실행 시에만 입력 값을 전달하는 방식으로 작동합니다. 이로 인해 SQL injection 공격뿐만 아니라 쿼리 실행 성능을 향상시킬 수 있는 장점도 있습니다.
현업에서는 보안을 중요하게 생각하는 만큼 prepared statement의 사용을 권장하고 있으며, 실제로도 널리 사용되고 있습니다. 다만, 애플리케이션의 구조나 기존 코드의 복잡성, 개발자의 습관 등의 이유로 인해 아직까지 각종 입력값에 대한 필터링, 이스케이프 처리 등이 함께 사용되기도 합니다. 하지만 가능한 때에는 prepared statement와 같은 파라미터화된 쿼리를 사용하여 공격으로부터 시스템을 보호하는 것이 좋습니다.
[실습2-2] 인증 우회 공격 오류
0
77
2
cmd로 검색하면 잘 나오는데 웹 페이지에서 작성하면 결과값이 안 나옵니다.
1
63
2
저 웹페이지는 어떻게 들어가나요?
0
93
1
맥북은 어떻게 설치해야 하나요?
0
141
1
XXE Injection 퀴즈에서 궁금한 점이 있습니다.
0
225
1
Burp Suite 관련 질문
0
105
2
실습 부분은 버프 사용법을 별도 공부를 하고 와야 따라하는게 가능 한 강의 인가요?
0
101
2
버프 스위트 설치 및 사용법에 대한 애매 모호함~
0
179
2
APMsetup 설치 부터 오류가 납니다.
0
217
1
' and 1=2 union select 'test','test',null~~ 검색하면 아무것도 없는 목록이 나와요
0
86
2
파일 업로드 취약점 공격 실습 웹쉘 미작동
0
174
1
CSRF 대응방안 궁금 사항 문의
0
128
2
php.ini가 아니라 php가 다운됩니다.
0
118
2
구문을 썼는데 삭제되지않아요
0
96
1
proxy switcher 다운로드 오류..
0
169
2
insecure_website 에러
0
144
2
취약환경 구축 not found 에러?
0
155
3
mysql 접속 에러
0
157
2
test' 부분이 실행되지않습니다.
0
114
2
monitor 이 안 켜져요
0
123
2
sql injection 공격이 가능한 순간 다른 기법을 사용하는건 비효율적이지 않나요?
0
186
2
리피터 글자가 깨짐현상
0
318
2
http://127.0.0.1/insecure_website/index.php 접속 에러 문제
0
135
2
실습6-1] CSRF공격을 통한 게시글 무단작성에서 오류가 발생합니다.
1
118
2