메뉴 건너뛰기

프로그램언어

Home 프로그램언어 JAVA JAVA
뷰어로 보기
2019.01.10 13:58

JAVA/JSP SQL Injection 해킹 방지를 위한 코딩

조쉬
조회 수 846 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
SQL Injection 은 사용자가 요상한 문자열을 입력해서 쿼리를 요상하게 바꿔 버려서 아무 아이디로나 로그인이 훅 되버린다던지 하는 쪼금은 싱거운 해킹방법중의 하나라고 나는 알고 있다.


뭐 예를들어 아이디 비번을 입력하고 로그인 할때

아이디로  admin' OR '1'='1 요런걸 입력하고 로그인을 했을때 admin 으로 싹 로그인 되 버리는 어처구니 없는 일이 발생하는 것이 SQL Injection 처리를 쪽바로 해주지 않았을때 일어나는 참혹한 일이다.


SQL Injection 이 발생하는 전형적인 코드는 다음과 같다. 

String userid=request.getParameter("userid");
String password=request.getParameter("password");
 
....
....
 
Statement stmt = conn.createStatement();
ResultSet rs = 
   stmt.executeQuery("select count(*) as cnt from member where userid='"+userid+"' and password='"+password+"'");
 
....
....

위 코드처럼 사용자 정보를 받아서 쿼리를 실행하고 실행결과가 1 이면 로그인 시켜주는 코드가 있다.

그런데 사용자가 아디디로 admin' OR '1'='1  을 입력하고 비밀번호로 abcd 를 입력한 후 로그인 시켜주셈~ 이라고 하면 우째될까?

위 코드대로라면  select count(*) from member where userid='amdin' OR '1'='1' and password = 'abcd'   이 쿼리가 실행되 버린다 -_-;;;

무섭다. 만약 사용자 테이블에 userid 가 admin 이라는 레코드가 있다면 admin 으로 로그인 되버리는 것이다. 

이런 어처구니 없는일이 놀랍게도 몇몇 허접한 사이트에서는 더러 통하는데도 있다 . -_-



아무튼 헛소리는 고만하고 본론으로 들어가서 SQL Injection 을 방지하려면 우째해야 될까? 

Statement 대신  PreparedStatement 를 쓰면 된다. 요렇게. 
....
....
 
PreparedStatement stmt = conn.prepareStatement("select count(*) from member where userid=? and password=?");
stmt.setString(1, userid);
stmt.setString(2, password);
 
ResultSet rs = stmt.executeQuery();
 
....
....



PreparedStatement 만 쓰면 해결된다고 해서 또 요렇게는 쓰지 말길 -.-; 

PreparedStatement stmt = 
   conn.prepareStatement("select count(*) from member where userid='" + userid + "'" and password='" + password + "'");


Facebook Twitter Google Pinterest
위로 아래로 댓글로 가기 인쇄
에디터 선택하기
?
List of Articles
번호 제목 날짜 조회 수
131 자바 String Class 문자열 처리 함수에 대한 정리 2021.03.31 106
130 자바에서 문자열 비교 시 == 가 아닌 equals를 써야하는 이유 file 2023.02.15 114
129 TCP 소켓 프로그래밍 01 - Server/Client 일대일 연결 file 2021.03.31 119
128 국제 시간에 따른 날짜 출력 2020.06.29 121
127 Reflection을 활용한 메서드, 필드 값 불러오기. 2021.03.31 122
126 자바 대소문자 확인하는 방법 file 2023.02.15 130
125 HashMap 사용하기 file 2021.03.31 134
124 [객체 지향 언어의 이해] 업캐스팅과 다운캐스팅 file 2021.03.31 157
123 자바 - 공백 문자 제거하기 (trim, replaceAll) file 2021.03.31 173
122 jstl <c:url value=""> 사용시 ;jsessionid= 붙는 현상 file 2021.03.31 230
121 Gmail 메일 서버를 이용해서 메일 보내기 file 2020.06.29 256
120 XML to JSON , JSON to Map 2020.06.29 262
119 log4j에서 로그가 출력되지 않는 문제 수정 2021.03.25 405
118 이클립스에서 같은 파일을 여러 편집창으로 띄우기 file 2019.03.05 677
117 java에서 이전 URL 알아내기 2021.03.25 690
116 이클립에서 Javadoc 생성시 unmappable character for encoding MS949 에러가 발생할때 file 2019.03.05 730
115 자바 랜덤 함수(Java random) file 2019.03.05 766
114 A java Runtime Environment(JRE) or Java Development Kit(JDK) must be ~~~~ 하면서 이클립스가 실행안될때. file 2019.03.05 789
» JAVA/JSP SQL Injection 해킹 방지를 위한 코딩 2019.01.10 846
112 이클립에서 FTP 접속하면서 Operation failed. File system input or output error 가 날때 file 2019.03.05 878
쓰기
Board Pagination Prev 1 2 3 4 5 6 7 8 Next
/ 8

하단 정보를 입력할 수 있습니다

© 2016 JOSHI. All Rights Reserved
© k2s0o1d4e0s2i1g5n. All Rights Reserved