강의

N
챌린지

멘토링

N
클립

로드맵

인프런 커뮤니티 질문&답변

blackjack_96님의 프로필 이미지
blackjack_96

작성한 질문수

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

상세 대응 방안(1)

테이블/컬럼명 Prepared Statement사용 불가능 관련 질문입니다.

작성

·

406

1

테이블/컬럼명을 다음과 같이 하여 Prepared Statement사용을 할 수 있지 않나요?

String tb_name='board';

String query = "select title from ? where content like '%?%'";

pstmt=conn.preparedStatement(query);

위 세 줄의 코드를 실행한 후

pstmt.setString이용하여 두 개의 placeholder에 대하여 바인딩을 하는 방법은 사용 불가능할까요?

모의해킹인젝션

퀴즈

SQL 인젝션 취약점의 주요 발생 원인은 무엇일까요?

강력한 암호화 기법 부족

사용자 입력값 검증 부재

웹 방화벽 미설치

데이터베이스 보안 설정 미흡

답변 1

0

크리핵티브님의 프로필 이미지
크리핵티브
지식공유자

안녕하세요.

영상 내에서도 설명이 있겠지만,

컬럼과 테이블 키워드 관련은 placeholder 사용을 통한 바인딩이 되지 않습니다.

prepared 원리 설명을 참고하시면 이해가 되실겁니다.

blackjack_96님의 프로필 이미지
blackjack_96

작성한 질문수

전체 Q&A
질문하기