반응형
※ 해킹 관련 게시글은 공부한 내용을 정리를 위한 목적으로 게시하였습니다. 꼭 가상 서버 및 연습 환경이 제공된 일부 사이트를 제외한 일반 사이트에 적용 및 악용 절대 금지합니다. 또한 블로그에서는 절대로 책임지지 않습니다.
<SQL 주입에 취약한 쿼리>
String query = "SELECT * FROM products WHERE category = '"+ input + "'";
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(query);
<사용자 입력이 쿼리 구조를 방해하지 않는 방식으로 다시 작성>
PreparedStatement statement = connection.prepareStatement("SELECT * FROM products WHERE category = ?");
statement.setString(1, input);
ResultSet resultSet = statement.executeQuery();
반응형
'보안 > WEB' 카테고리의 다른 글
| [WEB 보안] SQL Injection-UNION Attack_1 (0) | 2020.04.26 |
|---|---|
| [WEB 보안] SQL Injection 취약점_기타 (0) | 2020.04.26 |
| [WEB 보안] Blind SQL Injection 취약점_2 (0) | 2020.04.26 |
| [WEB 보안] 데이터베이스 버전 확인 (0) | 2020.04.22 |
| [WEB 보안] Blind SQL Injection 취약점_1 (0) | 2020.04.22 |