메인
기술
메인
기술
무료게임
잡담
자유
개인
일정
갤러리
회원가입
계정 찾기
로그인
HOME
기술
Sql Injection
목록
작성자
공대여자
작성 : 2014-11-14 09:26
조회 : 427
지남
1일간
2014-11-14
-
2014-11-14
좌표
첨부된 파일이 없습니다.
#database
Sql Injection
DB에 사용되는 SQL문이 입력 받은 값을 사용해서 생성될 때
특수한 기호 등을 사용해서 본래의 기능이 아닌 다른 기능의 SQL문이 동작하도록 하는 공격방법
방어방법
입력단에서 방어
입력단어중 insert, update ,delete 등이 들어있다면 페이지 실행을 중지
주요 단어 : SELECT, UPDATE, DELETE, INSERT, DROP, UNION 등등
장점 : 대응이 간단하다
단점 : 공격이 아닌 것에도 반응한다.
웹 프로그램에서 직접 처리하거나, 아파치 ModSecurity 등을 설치해서 사용
magic_quotes
PHP지원하는 MySQL 인젝션 방지법
'나 "에 자동으로 \를 붙여주는 방식
장점 : 이럴 경우 MySQL에 SQL이 생성될 때 자동으로 escape 처리가 된다는 장점이 있다.
단점 : 문제는 다른 DBMS에서 escape처리가 \가 아닌 경우가 있다.
그리고 계속 내용을 불러서 수정 저장할 경우 ' -> \' -> \\' -> \\\\' 처럼 \가 계속 붙는 경우도 있다.
PHP 5.3.0 부터는 사용금지(DEPRECATED) PHP 6.0.0에서는 해당 기능 자체가 사라진다.
Bind
SQL 문에 입력 받은 값을 바로 쓰지 않고 bind 문자열을 대신 사용한다.
입력 받은 값을 그 뒤 바인드 시켜서 해당 값에 대응되도록 한다.
장점 : Injection에서 해방이다. 바인드 되는 값은 SQL문을 바꾸기 않기 때문에 Injection 당하지 않는다.
아, 기본으로 제공되는게 아니라 에뮬레이팅 된것이라면 bind 메소드(또는 함수)에서 escape 처리해주면 된다.
단점 : 프로그램의 쿼리 부분을 다시 만들어야한다.
DB클래스 등을 사용했다면 수정 부분이 줄어들겠지만, 페이지에서 바로 해당 DBMS함수로 쿼리를 사용한 방식이라면.... 언제 다 뜯어낼꼬...
링크
설명 잘된 곳
Web Hacking 1탄 SQL Injection (레디오스님의 이글루)
일반적으로 사용되는 패턴
' or 1=1--
" or 1=1--
or 1=1--
' or 'a'='a
" or "a"="a
') or ('a'='a
' or password like '%
참고
--는 Oracle 1 line 주석
# 는 MySQL 1 line 주석
댓글
/
/
답변
수정
삭제
No Nickname
No Comment
새로운 댓글 작성
권한이 없습니다.
{{m_row.m_nick}}
내용이 너무 많습니다!
-
no-star
★☆☆☆☆
★★☆☆☆
★★★☆☆
★★★★☆
★★★★★
확인
목록형
📅 달력형
게시물 : 1693 (113 page)
No
제목
작성자
등록
조회
공지
[기본형] HTML (with 부트스트랩5.3 , jquery 3.7, vue.js)
공대여자
02/06 13:44
36786
공지
유용한 리눅스(LINUX) 명령어
공대여자
03/03 14:47
46361
공지
[공지] 기술 게시판
mins01
06/24 15:10
47514
js-templater 단순한 JS 템플릿 엔진 만들봤는데...
new
1
#template
웹 페이지에서 선택된 문자열의 너비 알아오기
#text
#range
#width
HTML에서 자식요소를 격리 시키기 contain: strict;
2
#contain
#isolate
contenteditable="plaintext-only"
#contenteditable
openweathermap.org 날씨정보 API
2
#api
#날씨
css grid repeat 사용법. (동적 컬럼)
#grid
#auto-fit
#auto-fill
pointerrawupdate event
1
#pointer
scroll-snap 사용시 주의 사항
#scroll-snap
현재 폴더 기준 이미지 파일의 너비 높이 알아오기
#php
#image
motion. A modern animation library for JavaScript, React and Vue
1
#animation
#motion
canvas에서 문자열 측정값. baseline 기준 하단 상단 높이 측정. fontBoundingBoxAscent, fontBoundingBoxDescent
1
#canvas
#measuretext
개발용 테스트 웹 서버 띄우는 방법
#web
#server
vite + react
#vite
#react
wampserver
1
#amp
HTML 에서 중앙에 위치하게 할 때 center
#html
#center
#grid
tag
제목
내용
제목+내용
제목+내용+코멘트
작성자
태그
검색
