웹 SQL 공격

데이터베이스와 연동되는 동적 웹 사이트는 사용자의 입력 데이터를 기반으로 SQL 명령 쿼리를 생성하고 결과를 화면에 출력합니다. 웹 인젝션은 악의 있는 사용자가 웹 페이지 의 입력값을 통하여 SQL 명령 코드를 변경하는 해킹입니다.

악의적인 사용자는 SQL 쿼리 생성에 영향을 줄 수 있는 기호나 값을 함께 입력함으로써 정상적인 프로그램 처리를 방해하고 악의적인 결과를 출력하도록 유도합니다. 이렇게 삽 입된 SQL 명령은 SQL문을 변경하고 웹 응용프로그램의 보안을 손상시킬 수 있습니다.

$ID = $_POST[‘uid’]; $queryString = “select * from members where Id = ‘$ID’”; 

위의 코드는 POST 값으로 넘어온 사용자 입력을 기준으로 SQL 쿼리문을 생성하는 예입니다. 하지만 이러한 코드는 SQL 인젝션 공격의 잠재적인 위험을 가지고 있습니다.