SQL Injection 질문드립니다!

22.07.29 14:16 작성 조회수 150

안녕하세요. 12:40에 `${url}`을 사용시에는 sql 인젝션 공격에 취약하다고 하셨는데

파라미터로 넣는것과 어떤 차이가 있기에 취약하고, 파라미터로 넣으면 어떻게 공격을 방어해주는 것인지 궁금합니다!

그렇다면 만약 현재 `${url}` 형싱을 이용했다면 모든 코드를 파라미터 형태로 변경하는 것이 좋을까요?

Slack 클론 코딩[백엔드 with NestJS + TypeORM]

typeorm 쿼리빌더

강의실 바로가기

답변 1

답변을 작성해보세요.

조현영

2022.07.29

네 전부 파라미터 형식으로 바꿔주시면 되고요. 파라미터로 넣으면 typeorm이 알아서 위험문자를 이스케이핑한 후 DB로 전송합니다.

KunAguero

2022.07.29

빠른 답변 감사합니다!