SQL Injection


 SQL Injection이 무엇인가?에 대한 Posting입니다.

SQL Injection은 의도적으로 query문을 변형 또는 삽을 하면서 error를 일으키거나 특정 정보를 열람하거나, 조작을 하는 행위입니다.

어떤 식으로 공격을 가하는지는 SQL을 다뤄본 사람이라면 예상이 갈 것이다.
따라서 방어하는 방법에 대해서 설명을 하겠습니다.

SQL Injection 방어 - 입력 값 검증


1
2
/*, –, ‘, “, ?, #, (, ), ;, @, =, *, +, union, select, drop, update, from, where, join, substr, user_tables,
 user_table_columns, information_schema, sysobject, table_schema, declare, dual,…

 위와 같은 문자열들을 넣었을 때, 문제가 발생한다. 따라서 문자열에서 위와 같은 문자들이 나왔을 때, 공백을 없애기, 인코딩 등의 입력 값을 검증하는 방법들이 존재한다.

SQL Injection 방어 - 지정 프로시저의 사용


 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
function (callback) {// login 관련 callback   // 0
            if (sessionInfo != undefined) {
                var queryString = 'select * from member where no_member = ?';
                pool.query(queryString, sessionInfo.memberNumber, function (err, rows) {
                    if (err) return callback(err);
                    callback(null, rows[0]);
                });
            }else {
                callback(null);
            }
        }

 위는 제가 짠 node.js 코드의 일부로 query를 보면 "?"가 있을 것이다. ?와 맵핑되는 것은 sessionInfo.memberNumber라는 변수이다. 이런식으로 되어 있으면 공격이 들어왔을 때, node.js module에서 error를 낸다.


이 블로그의 인기 게시물

웹툰 무료로 볼 수 있는 사이트

출근하는 지하철 안이나 버스 등 대중교통을 이용하면서 짬 내서 보거나 시간 때우기용으로 좋은 게 웹툰만 한 게 있을까 합니다. 또 웹툰을 자주 즐겨보는 사람들에겐 어디하나 마음놓고 이용할 수 있는 곳을 찾고 싶겠지만, 집중력 강하고 정주행을 하고 싶은 유저들 입장에서 무료 웹툰 사이트 추천을 해보겠습니다. 하지만 무료로 미리보기를 제공하는 사이트들의 경우 대부분 법에 문제가 있거나 불법적으로 운영되는 사이트들이 대부분입니다. 그래서 추천할만한 블로그 글 두 가지를 가지고 나왔습니다. 1.  무료웹툰   2.  툰코 이곳에 상당히 많은 수의 웹툰 사이트들이 있습니다, 몰랐는데 새로운 사이트들이 굉장히 많더군요. 적어도 30개의 웹툰 사이트들이 있습니다. 이곳을 방문해서 재미있는 웹툰을 골라서 보는 것도 참 좋을 것 같습니다. 뿐만 아니라 무료 사이트들도 추천해 놓았습니다. 무료 사이트의 경우 주소가 자주 바뀌는 특성을 가지고 있는데요, 이 블로그는 주기적으로 업데이트를 하기 때문에 즐겨찾기해 놓으면 나중에 지속적으로 이용이 가능할 것 같습니다. 또한 웹툰 사이트별로 특징도 소개되어있어 자신에게 맞는 사이트를 골라서 입장하면 될 것 같습니다. 이상으로 웹툰 무료로 볼 수 있는 사이트들에 대한 링크를 제공하였습니다. 감사합니다.
자세한 내용 보기

BackJoon 1011, Fly me to the alpha centauri, 규칙 찾기 문제

오랜만에 글을 올리게 되네요. https://www.acmicpc.net/problem/1011 위 링크에서 문제 확인 가능합니다. 이 문제는 최소로 공간이동 장치를 사용해서 이동할 수 있는데, 마지막에는 꼭 1로 이동을 해야한다는 조건이 있어서 조금 까다롭습니다. 즉, 보면 다음과 같이 이동이 가능합니다. 1 11 = 2 121    = 4 1221  = 6 1211  = 7 12321   = 9 123321 123221 .... 이런 식인데 대충 알아 냈겠지만 규칙이 존재합니다. 바로  자리수를 기준으로 나누는 겁니다. 2자리의 경우 11이 최대이고 3자리의 경우 121, 4자리는 1221, 5자리는 12321 ... 쭉 생깁니다. 예를 들어 이동하려는 거리가  7 이면 7보다 작거나 같은 곳의 인덱스를 찾으면 됩니다. 바이너리 서치를 통하면 더욱 빠르게 접근할 수 있습니다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 import java.io.* ; import java.util.Arrays ; public class B1011 { static int T, x, y, ans, e; static long [] md = new long [ 100000 ]; static long pos; static String in; public static void main (String[] args) throws IOException { BufferedReader br = new BufferedReader( new InputStreamReader(System. in )); ...
자세한 내용 보기

BaekJoon 6591, 이항 쇼다운 조합문제

조합의 수를 구하는 알고리즘을 짜면 되는 심플한 문제입니다. https://www.acmicpc.net/problem/1011 일단 팩토리얼을 구해서 곱하고 나누고 하는 문제가 아니라, 중간 과정에서 나눠 주는 것이 포인트입니다. 안그러면  int 범위를 벗어나서 값이 이상해집니다. 저는 gcd를 이용해서 값을 나눠주면서 계산을 했습니다. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 import java.io.* ; public class B6591 { static int N, M; static int [] a = new int [ 101 ]; static int [] b = new int [ 101 ]; static String in; public static void main (String[] args) throws IOException { BufferedReader br = new BufferedReader( new InputStreamReader(System. in )); BufferedWriter bw = new BufferedWriter( new OutputStreamWriter(System. out )); while (!(in = br. readLine ()). equals ( "0 0" )) { N = Integer. parseInt (in. split ( " " )[ 0 ]); M = Integer. parseInt (in. s...
자세한 내용 보기