SQL Injection (SQL ์ฝ์ )
์์ฉ ํ๋ก๊ทธ๋จ ๋ณด์์์ ํ์ ์ ์๋์ ์ผ๋ก ์ด์ฉํด, ์ ์์ ์ธ SQL๋ฌธ์ ์คํ๋๊ฒ ํจ์ผ๋ก์จ ๋ฐ์ดํฐ๋ฒ ์ด์ค๋ฅผ ๋น์ ์์ ์ผ๋ก ์กฐ์ํ๋ ์ฝ๋ ์ธ์ ์ ๊ณต๊ฒฉ ๋ฐฉ๋ฒ์ด๋ค.
๋ฐฉ์ด ๋ฐฉ๋ฒ
- ๋ธ๋๋ฆฌ์คํธ ๋ฐฉ์
์ ํํ ๋ฌธ์๋ฅผ ๋ฆฌ์คํธ๋ก ์์ฑํ์ฌ ํด๋น ๋ฆฌ์คํธ์ ์๋ ๋ฌธ์๋ฅผ ์ฌ์ฉํ์ง ๋ชปํ๋๋ก ํ๋๊ฒ.
- ํ์ดํธ ๋ฆฌ์คํธ ๋ฐฉ์
๋ธ๋๋ฆฌ์คํธ ๋ฐฉ์๊ณผ๋ ๋ฐ๋๋ก, ์
๋ ฅ์ ํ์ฉํ ๋ฌธ์๋ฅผ ๋ฆฌ์คํธ๋ก ์์ฑํ์ฌ ํด๋น ๋ฆฌ์คํธ์ ์๋ ๋ฌธ์ ์ธ์๋ ์ฌ์ฉํ์ง ๋ชปํ๋๋ก ํ๋๊ฒ.
- SQL์ค๋ฅ๊ฐ ๋ฐ์ํ์์์ ์๋ฌํ์ด์ง๋ฅผ ์ด์ฉํ์ฌ ์๋ฌ ๋ฉ์ธ์ง๋ฅผ ํ์ํ์ง์๊ฒ ์ค๋ฅ ๋ฉ์ธ์ง ์ถ๋ ฅ์ ์ ํ
- Prepared statement๋ฅผ ์ฌ์ฉํ์ฌ ์ฌ์ฉ์ฌ์ ์ ๋ ฅ์ ์ฟผ๋ฆฌ๋ฌธ์ผ๋ก๋ถํฐ ๋ถ๋ฆฌ์ํจ๋ค.
XSS(ํฌ๋ก์ค ์ฌ์ดํธ ์คํฌ๋ฆฝํ )
์น ์ฌ์ดํธ ๊ด๋ฆฌ์๊ฐ ์๋ ์ฌ๋์ด ์น ํ์ด์ง์ ์ ์ฑ ์คํฌ๋ฆฝํธ๋ฅผ ์ฝ์ ํ ์ ์๋ ์ทจ์ฝ์
๋ฐฉ์ด ๋ฐฉ๋ฒ
- HTML์ ํ๊ทธ๋ฅผ ์ ๋ ฅํ๋ ๋ถ๋ฑํธ(< , >)๋ฅผ ์ ๋ ฅํ์ง ๋ชปํ๋๋ก ํ๋ค.
- htmlspecialcharsํจ์๋ฅผ ์ฌ์ฉํ์ฌ ํน์๋ฌธ์(&, <, >, ", ' ๋ฑ)๋ฅผ HTML ์ํฐํฐ๋ก ๋ฐ๊พธ์ด์ค๋ค.
CSRF(ํฌ๋ก์ค ์ฌ์ดํธ ๋ณ์กฐ์์ฒญ)
์ฌ์ฉ์๊ฐ ์์ ์ ์์ง์๋ ๋ฌด๊ดํ๊ฒ ๊ณต๊ฒฉ์๊ฐ ์๋ํ ํ์(์ถ๊ฐ, ์์ , ์ญ์ ๋ฑ)๋ฅผ ํน์ ์น ์ฌ์ดํธ์ ์์ฒญํ๊ฒ ํ๋ ๊ณต๊ฒฉ์ด๋ค.
'๐ ํ๋ก๊ทธ๋๋ฐ > Web' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
HTTP Method (0) | 2020.09.28 |
---|---|
SESSION๊ณผ COOKIE ๋น๊ต (0) | 2020.09.27 |
GET๊ณผ POST ๋น๊ต (0) | 2020.09.26 |