SQL Injection

설명

대상 애플리케이션 서버의 백엔드 데이터베이스에서 임의의 SQL 명령을 실행할 수 있습니다.

SQL Injection은 데이터 또는 시스템 손상으로 이어질 수 있는 중요한 취약점입니다.

수정 방법

항상 백엔드 데이터베이스 시스템에 요청을 할 때 매개변수화된 쿼리를 사용하세요.

동적 쿼리를 생성해야 하는 상황에서는 사용자 입력을 직접 사용하지 말고, 유효한 값의 맵이나 사전을 사용하여 사용자 제공 키를 통해 해결하세요.

예를 들어, 일부 데이터베이스 드라이버는 > 또는 < 비교 연산자에 대해 매개변수화된 쿼리를 허용하지 않습니다.

이러한 경우, 사용자 제공 > 또는 < 값을 사용하지 말고, 대신 사용자가 gt 또는 lt 값을 제공하도록 하세요.

알파벳 값은 이후 >< 값을 조회하여 동적 쿼리를 구성하는 데 사용됩니다.

이는 매개변수화할 수 없는 열 또는 테이블 이름이 필요한 다른 쿼리에도 동일하게 적용됩니다.

세부정보

ID Aggregated CWE Type Risk
89.1 false 89 Active high

링크