SQL Injection
설명
대상 애플리케이션 서버의 백엔드 데이터베이스에서 임의의 SQL 명령을 실행할 수 있습니다.
SQL Injection은 데이터 또는 시스템 손상으로 이어질 수 있는 중요한 취약점입니다.
수정 방법
항상 백엔드 데이터베이스 시스템에 요청을 할 때 매개변수화된 쿼리를 사용하세요.
동적 쿼리를 생성해야 하는 상황에서는 사용자 입력을 직접 사용하지 말고, 유효한 값의 맵이나 사전을 사용하여 사용자 제공 키를 통해 해결하세요.
예를 들어, 일부 데이터베이스 드라이버는 >
또는 <
비교 연산자에 대해 매개변수화된 쿼리를 허용하지 않습니다.
이러한 경우, 사용자 제공 >
또는 <
값을 사용하지 말고, 대신 사용자가 gt
또는 lt
값을 제공하도록 하세요.
알파벳 값은 이후 >
및 <
값을 조회하여 동적 쿼리를 구성하는 데 사용됩니다.
이는 매개변수화할 수 없는 열 또는 테이블 이름이 필요한 다른 쿼리에도 동일하게 적용됩니다.
세부정보
ID | Aggregated | CWE | Type | Risk |
---|---|---|---|---|
89.1 | false | 89 | Active | high |