? 플레이스 홀더 문자

안녕하세요. Prepared Statement는 SQL 인젝션의 대응방법입니다. 이 방법은 아직 우회 기법은 없습니다.(물론 취약하게 코딩할 경우 제외) 만약 이 방법이 우회가 된다면 전 세계적으로 큰 이슈가 되겠죠.ㅎ 말씀하신대로, 해당 웹 서비스에서 모든 입력 값에 대해 Prepared Statement 처리를 하면 안전합니다. 그러나 Prepared Statement가 적용될 수 없는 경우도 있습니다.(이부분은 강의에서 설명을 드렸습니다.) 모든 웹 서비스의 모든 입력 값에서 Prepared Statement로 처리가 되면 모든 웹 서비스는 SQL 인젝션에 안전하기 때문에 SQL 인젝션이란 기술은 의미가 없게 됩니다. 그러나 그렇게 될 수는 없습니다. SQL 인젝션은 웹 서비스의 범주에서만 가능한 공격이 아니며 데이터베이스와 연동 되어 있는 모든 어플리케이션에서도 가능합니다. 또한 웹 서비스를 개발하는 개발자들이 경우에 따라선 Prepared Statement를 사용하지 않는 경우들도 있습니다.

mysql case when 구문이용

mssql의 경우는 연결 연산자가 +이기 때문에 +로 가능합니다. like '%'+(case when 1=1 then 'test' else 'aaaaaa' end)+'%' mysql의 경우는 이런 구문 만들지 못합니다. concat의 경우는 title like '%' and concat(~~~~ 이런 형태만 가능하며, like '%문장%' 이안에서는 활용하지 못합니다.

접근 제어 로직 구현 실수 관련해 질문있습니다.

일반적으로는 안전하다고 볼 수 있지만 세션이 파일로 저장되는데 웹 디렉터리 상에 있어서 웹으로 볼수있거나 DB에 저장되는데 SQL 인젝션 공격으로 세션을 탈취할 수 있거나 등... 이런 다양한 경로를 통한 잠재적 위협은 존재합니다. JWT 경우도 안전하게 설계를 한다면 안전하다고 볼 수 있구요.

섹션 1 5번째 강의 질문

UNION 구문 없이 단독 SELECT 구문으로 두개의 컬럼 1,2를 반환을 하게 되면 두개의 컬럼이 반환되기 때문에 구문 에러가 발생되게 됩니다. 구문 에러가 발생되면 SQL 구문이 실행되지 않기 때문에 저희가 의도한 행위를 하지 못하게 됩니다. 따라서 구문 에러 없이 case when 구문을 통해 에러를 발생 시켜야 되는데 그 방법이 union을 통한 방법입니다. 이유는 구문 실행을 해야 다중 레코드인지 알 수 있기 때문 입니다.

www.wgw.co.kr에 접속이 안됩니다.

hosts 파일 혹은 vhost 설정 다시 확인해보시고 아파치 재기동, 윈도우 재부팅을 해보실래요?