read : Sql Injection : 기술 #database::공대여자홈

Sql Injection

목록

작성자 공대여자

작성 : 2014-11-14 09:26 조회 : 398
지남 1일간

2014-11-14 - 2014-11-14

좌표
첨부된 파일이 없습니다.

#database

Sql Injection

DB에 사용되는 SQL문이 입력 받은 값을 사용해서 생성될 때
특수한 기호 등을 사용해서 본래의 기능이 아닌 다른 기능의 SQL문이 동작하도록 하는 공격방법
방어방법

입력단에서 방어

입력단어중 insert, update ,delete 등이 들어있다면 페이지 실행을 중지

주요 단어 : SELECT, UPDATE, DELETE, INSERT, DROP, UNION 등등

장점 : 대응이 간단하다
단점 : 공격이 아닌 것에도 반응한다.
웹 프로그램에서 직접 처리하거나, 아파치 ModSecurity 등을 설치해서 사용

magic_quotes

PHP지원하는 MySQL 인젝션 방지법
'나 "에 자동으로 \를 붙여주는 방식
장점 : 이럴 경우 MySQL에 SQL이 생성될 때 자동으로 escape 처리가 된다는 장점이 있다.
단점 : 문제는 다른 DBMS에서 escape처리가 \가 아닌 경우가 있다.
그리고 계속 내용을 불러서 수정 저장할 경우 ' -> \' -> \\' -> \\\\' 처럼 \가 계속 붙는 경우도 있다.
PHP 5.3.0 부터는 사용금지(DEPRECATED) PHP 6.0.0에서는 해당 기능 자체가 사라진다.

Bind

SQL 문에 입력 받은 값을 바로 쓰지 않고 bind 문자열을 대신 사용한다.
입력 받은 값을 그 뒤 바인드 시켜서 해당 값에 대응되도록 한다.
장점 : Injection에서 해방이다. 바인드 되는 값은 SQL문을 바꾸기 않기 때문에 Injection 당하지 않는다.

아, 기본으로 제공되는게 아니라 에뮬레이팅 된것이라면 bind 메소드(또는 함수)에서 escape 처리해주면 된다.

단점 : 프로그램의 쿼리 부분을 다시 만들어야한다.

DB클래스 등을 사용했다면 수정 부분이 줄어들겠지만, 페이지에서 바로 해당 DBMS함수로 쿼리를 사용한 방식이라면.... 언제 다 뜯어낼꼬...

링크

설명 잘된 곳
Web Hacking 1탄 SQL Injection (레디오스님의 이글루)

일반적으로 사용되는 패턴

' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
' or password like '%
참고

--는 Oracle 1 line 주석
# 는 MySQL 1 line 주석

목록

댓글

/ /
No Nickname

No Comment
권한이 없습니다.

{{m_row.m_nick}}

내용이 너무 많습니다!

-

No	제목	작성자	날짜	조회
공지	[기본형] HTML (with 부트스트랩5.3 , jquery 3.7, vue.js) #기본형	공대여자	24-02-0602-06	24943
공지	유용한 리눅스(LINUX) 명령어 #linux #command	공대여자	11-03-0303-03	35342
공지	[공지] 기술 게시판 #etc #공지	mins01	05-06-2406-24	35918
1687	pointerrawupdate event 1 #pointer	공대여자	25-04-1804-18	50
1686	scroll-snap 사용시 주의 사항 #scroll-snap	공대여자	25-04-0804-08	69
1685	현재 폴더 기준 이미지 파일의 너비 높이 알아오기 #php #image	공대여자	25-04-0704-07	86
1684	motion. A modern animation library for JavaScript, React and Vue 1 #animation #motion	공대여자	25-03-2503-25	88
1683	canvas에서 문자열 측정값. baseline 기준 하단 상단 높이 측정. fontBoundingBoxAscent, fontBoundingBoxDescent 1 #canvas #measuretext	공대여자	25-03-2403-24	87
1682	개발용 테스트 웹 서버 띄우는 방법 #web #server	공대여자	25-02-2202-22	210
1681	vite + react #vite #react	공대여자	25-02-1302-13	156
1680	wampserver 1 #amp	공대여자	25-02-1202-12	110
1679	HTML 에서 중앙에 위치하게 할 때 center #html #center #grid	공대여자	25-02-1102-11	159
1678	git submodule 사용법 (서브모듈 속 서브모듈도) #git #submodule	공대여자	25-01-2401-24	166
1677	ui-input-stepper 2 #stepper #input	공대여자	25-01-2101-21	208
1676	윈도우용 계정 폴더의 temp 에 계속 파일이 쌓이는 것 정리하는 배치파일 #temp #bat	공대여자	25-01-0301-03	151
1675	ui-transform-tool 1 #ui #transform	공대여자	24-12-3112-31	182
1674	<script type="importmap"> 1 #js #importmap	공대여자	24-12-2712-27	178
1673	ui-loading 1 #ui #loading	공대여자	24-12-2612-26	147