SQL 인젝션 공격을 방지하기 위해 Prepared Statements를 사용할 수 있다. Prepared Statements는 데이터베이스와 상호 작용할 때SQL 쿼리와 데이터를 분리하여 SQL 인젝션 공격을 방지할 수 있다.일반적인 SQL 쿼리는 사용자가 입력한 값을 직접 포함한다.이 때문에 공격자가 악의적인 입력을 삽입하면 데이터베이스가 오작동할 수 있다.Prepared Statements는 쿼리와 데이터를 분리하여 이러한 문제를 해결한다.SQL 인젝션에 취약한 코드를 보자.$id = $_GET[‘id’]; //사용자가 입력한 값을 변수 $id에 저장한다.$query = “SELECT first_name, last_name FROM users WH..
SQL Injection
SQL 인젝션(Injection)은 웹 해킹 공격 중 하나로공격자가 악의적인 SQL 코드를 입력하여 데이터베이스 쿼리를 조작해 데이터베이스를 공격하는 것이다.이를 통해 공격자는 데이터베이스에 있는 데이터를 가져오거나 수정하거나 삭제할 수 있다.또한 나아가 인증을 우회하거나 관리자 권한을 획득할 수도 있다. SQL Injection은 실제 해킹 방법으로 상용 웹페이지에 사용하는 것은 엄연한 불법이다.연습용 서버를 준비하거나 DVWA를 이용하자.DVWA에서 SQL 인젝션 공격을 실행해 보자.인젝션 공격 실행 전, 먼저 난이도를 Low로 변경해야 한다. 초반 설정인 Impossible에선 공격이 통하지 않기 때문이다.난이도 변경 방법은 이전 포스팅을 참고하자. [웹 해킹] 2. DVWA 보안 난이도 조정하기D..
