SQL 인젝션

1 개요[ | ]

SQL injection

SQL 인젝션, SQL 삽입, SQL 주입

• 유해한 SQL문을 삽입하는 코드 인젝션 공격 기법
• 개발자가 생각지 못한 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션
• 웹 애플리케이션의 허점을 악용해 애플리케이션의 개발자가 예상하지 못했던 SQL 문장이 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격
• 가장 빈번하게 일어나는 웹 해킹 공격임

2 대응방법[ | ]

• 프리페어드 스테이트먼트 ★
• 이스케이핑 ( 예: mysqli_real_escape_string() )
• 패턴 점검
• 데이터베이스 권한 조정

3 같이 보기[ | ]

• 블라인드 SQL 인젝션
• 사이트 간 스크립팅
• 강제 브라우징
• OWASP
• 비통제 포맷 스트링(uncontrolled format string)
• SGML 엔티티
• SANS TOP 25
• 웹 애플리케이션 보안
• MS-SQL 인젝션 테스트
• w3af
• 메타스플로이트 프로젝트
• SQL
• 코드 인젝션

4 참고[ | ]

• https://en.wikipedia.org/wiki/SQL_injection
• http://terms.naver.com/entry.nhn?docId=1968157&cid=43667&categoryId=43667
• http://terms.naver.com/entry.nhn?docId=3581278&cid=59088&categoryId=59096