메뉴 건너뛰기

조회 수 895 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
SQL Injection 은 사용자가 요상한 문자열을 입력해서 쿼리를 요상하게 바꿔 버려서 아무 아이디로나 로그인이 훅 되버린다던지 하는 쪼금은 싱거운 해킹방법중의 하나라고 나는 알고 있다.


뭐 예를들어 아이디 비번을 입력하고 로그인 할때

아이디로  
admin' OR '1'='1 요런걸 입력하고 로그인을 했을때 admin 으로 싹 로그인 되 버리는 어처구니 없는 일이 발생하는 것이 SQL Injection 처리를 쪽바로 해주지 않았을때 일어나는 참혹한 일이다.


SQL Injection 이 발생하는 전형적인 코드는 다음과 같다.

String userid=request.getParameter("userid");
String password=request.getParameter("password");
 
....
....
 
Statement stmt = conn.createStatement();
ResultSet rs = 
   stmt.executeQuery("select count(*) as cnt from member where userid='"+userid+"' and password='"+password+"'");
 
....
....


위 코드처럼 사용자 정보를 받아서 쿼리를 실행하고 실행결과가 1 이면 로그인 시켜주는 코드가 있다.

그런데 사용자가 아디디로 admin' OR '1'='1  을 입력하고 비밀번호로 abcd 를 입력한 후 로그인 시켜주셈~ 이라고 하면 우째될까?

위 코드대로라면  select count(*) from member where userid='amdin' OR '1'='1' and password = 'abcd'   이 쿼리가 실행되 버린다 -_-;;;

무섭다. 만약 사용자 테이블에 userid 가 admin 이라는 레코드가 있다면 admin 으로 로그인 되버리는 것이다. 

이런 어처구니 없는일이 놀랍게도 몇몇 허접한 사이트에서는 더러 통하는데도 있다 . -_-



아무튼 헛소리는 고만하고 본론으로 들어가서 SQL Injection 을 방지하려면 우째해야 될까? 

Statement 대신  PreparedStatement 를 쓰면 된다. 요렇게.
....
....
 
PreparedStatement stmt = conn.prepareStatement("select count(*) from member where userid=? and password=?");
stmt.setString(1, userid);
stmt.setString(2, password);
 
ResultSet rs = stmt.executeQuery();
 
....
....



PreparedStatement 만 쓰면 해결된다고 해서 또 요렇게는 쓰지 말길 -.-;

PreparedStatement stmt = 
   conn.prepareStatement("select count(*) from member where userid='" + userid + "'" and password='" + password + "'");




List of Articles
번호 제목 날짜 조회 수
51 JAVA 현재 시간 구하기 file 2018.07.09 1312
50 예외처리 / 예외발생 file 2018.09.21 977
49 직렬화 / 역직렬화 file 2018.09.21 998
48 시간관련 클래스 file 2018.09.21 1220
47 JSON 문자열을 Map 으로 변환하기(Jackson 사용) 2019.01.08 1044
46 Apache Commons HttpClient 3.x 로 Http 서버에 파일 전송하기 file 2019.01.08 1192
45 Java : JSOUP 를 이용, html에서 소스, 링크경로 추출후 절대 경로로 바꾸기 2019.01.08 1201
» JAVA/JSP SQL Injection 해킹 방지를 위한 코딩 2019.01.10 895
43 기본적인 스크립트 보안 2019.01.16 6090
42 변환 (문자, 숫자, KSC5601.....) 2019.01.16 1328
41 A java Runtime Environment(JRE) or Java Development Kit(JDK) must be ~~~~ 하면서 이클립스가 실행안될때. file 2019.03.05 950
40 이클립스 html, js 등등의 파일에서 에러표시 지우기 2019.03.05 1507
39 이클립에서 Javadoc 생성시 unmappable character for encoding MS949 에러가 발생할때 file 2019.03.05 771
38 이클립에서 FTP 접속하면서 Operation failed. File system input or output error 가 날때 file 2019.03.05 913
37 이클립스에서 같은 파일을 여러 편집창으로 띄우기 file 2019.03.05 712
36 자바 랜덤 함수(Java random) file 2019.03.05 806
35 국제 시간에 따른 날짜 출력 2020.06.29 162
34 XML to JSON , JSON to Map 2020.06.29 549
33 사용자의 IP를 가져오기 (IPv4) 2020.06.29 1749
32 Gmail 메일 서버를 이용해서 메일 보내기 file 2020.06.29 320
Board Pagination Prev 1 2 3 4 5 6 7 8 Next
/ 8

하단 정보를 입력할 수 있습니다

© k2s0o1d4e0s2i1g5n. All Rights Reserved