3. SQL Injection

어플리케이션에 사용자가 서버로 문구를 전송할 수 있을 경우,

SQL문구를 삽입하여 데이터베이스를 악의적으로 조작하는 방법이다.

 

 

 

과거 SQL은 prepared statement의 부재로 오류 메시지를 클라이언트 단에 직접 

전송하는 경우가 있었다, 이에 사용자가 오류메시지에 따른 데이터 베이스 상태를 확인할 수 있어

공격자가 해당 데이터베이스의 테이블 구조, 그리고 중요 정보에 대한 색인 또한 가능하게 되는 문제점이 있었다.

 

근래는 대다수의 데이터베이스 프레임워크에서 Prepared statement, 객체를 적용하여 우선 쿼리로써 적용하지 않고

구문분석 이후 바인딩된 데이터를 컴파일러등으로 처리하게 되므로 의미있는 쿼리로써 사용할 수 없다.