메뉴 건너뛰기

프로그램언어

Home 프로그램언어 JAVA JAVA
뷰어로 보기
2019.01.10 13:58

JAVA/JSP SQL Injection 해킹 방지를 위한 코딩

조쉬
조회 수 846 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
SQL Injection 은 사용자가 요상한 문자열을 입력해서 쿼리를 요상하게 바꿔 버려서 아무 아이디로나 로그인이 훅 되버린다던지 하는 쪼금은 싱거운 해킹방법중의 하나라고 나는 알고 있다.


뭐 예를들어 아이디 비번을 입력하고 로그인 할때

아이디로  admin' OR '1'='1 요런걸 입력하고 로그인을 했을때 admin 으로 싹 로그인 되 버리는 어처구니 없는 일이 발생하는 것이 SQL Injection 처리를 쪽바로 해주지 않았을때 일어나는 참혹한 일이다.


SQL Injection 이 발생하는 전형적인 코드는 다음과 같다. 

String userid=request.getParameter("userid");
String password=request.getParameter("password");
 
....
....
 
Statement stmt = conn.createStatement();
ResultSet rs = 
   stmt.executeQuery("select count(*) as cnt from member where userid='"+userid+"' and password='"+password+"'");
 
....
....

위 코드처럼 사용자 정보를 받아서 쿼리를 실행하고 실행결과가 1 이면 로그인 시켜주는 코드가 있다.

그런데 사용자가 아디디로 admin' OR '1'='1  을 입력하고 비밀번호로 abcd 를 입력한 후 로그인 시켜주셈~ 이라고 하면 우째될까?

위 코드대로라면  select count(*) from member where userid='amdin' OR '1'='1' and password = 'abcd'   이 쿼리가 실행되 버린다 -_-;;;

무섭다. 만약 사용자 테이블에 userid 가 admin 이라는 레코드가 있다면 admin 으로 로그인 되버리는 것이다. 

이런 어처구니 없는일이 놀랍게도 몇몇 허접한 사이트에서는 더러 통하는데도 있다 . -_-



아무튼 헛소리는 고만하고 본론으로 들어가서 SQL Injection 을 방지하려면 우째해야 될까? 

Statement 대신  PreparedStatement 를 쓰면 된다. 요렇게. 
....
....
 
PreparedStatement stmt = conn.prepareStatement("select count(*) from member where userid=? and password=?");
stmt.setString(1, userid);
stmt.setString(2, password);
 
ResultSet rs = stmt.executeQuery();
 
....
....



PreparedStatement 만 쓰면 해결된다고 해서 또 요렇게는 쓰지 말길 -.-; 

PreparedStatement stmt = 
   conn.prepareStatement("select count(*) from member where userid='" + userid + "'" and password='" + password + "'");


Facebook Twitter Google Pinterest
위로 아래로 댓글로 가기 인쇄
에디터 선택하기
?
List of Articles
번호 제목 날짜 조회 수
131 JAVA JDK 제거하기 file 2018.07.09 1409
130 JAVA public, private, protected 정리 2018.07.09 1001
129 JAVA TreeMap 인덱스 값 가져오기 및 Collections.sort 사용하기 2018.07.09 1487
128 JAVA 두개의 문서 파일 비교하기 2018.07.09 2388
127 JAVA 이클립스 인코딩 변경하기 file 2018.07.09 1590
126 JAVA 인코딩을 변경하여 파일 출력하기 (EUC_KR) 2018.07.09 1105
125 JAVA 정규표현식을 이용한 패턴매칭(HTML 제거) 2018.07.09 1164
124 JAVA 현재 시간 구하기 file 2018.07.09 1266
» JAVA/JSP SQL Injection 해킹 방지를 위한 코딩 2019.01.10 846
122 java에서 이전 URL 알아내기 2021.03.25 690
121 JDK 9에서 eclipse 실행이 안될때 2018.06.05 1596
120 jquery 스크롤(scroll) 따라다니는 배너 레이어 / 위로 버튼 / 화면 상단으로 이동 / scroll layer 이벤트 file 2017.07.05 4057
119 JQuery 자동완성 플러그인 JSDT설치 file 2016.09.19 8896
118 JSON 문자열을 Map 으로 변환하기(Jackson 사용) 2019.01.08 1010
117 JSP, Spring, GMail 메일발송 간단 예제 2016.09.12 32791
116 jstl <c:url value=""> 사용시 ;jsessionid= 붙는 현상 file 2021.03.31 230
115 log4j에서 로그가 출력되지 않는 문제 수정 2021.03.25 405
114 My-SQL 을 이용한 JDBC file 2016.09.21 4282
113 MySQL에 All-in-one 설치시 webmaster로 로그인 안되는 문제 해결을 위한 2가지 수정사항 file 2016.08.29 4954
112 No bean name '***Service' is defined 오류나는 이유 및 해결방법 file 2016.08.29 4561
쓰기
Board Pagination Prev 1 2 3 4 5 6 7 8 Next
/ 8

하단 정보를 입력할 수 있습니다

© 2016 JOSHI. All Rights Reserved
© k2s0o1d4e0s2i1g5n. All Rights Reserved