sql보안1

• 

  [DB] SQL Injection 방지를 위한 안전한 쿼리 작성: ${} 대신 Prepared Statements 활용 [SQL 쿼리문에서 ${} 사용하지 말아야 하는 이유와 대체 방법] 최근에 파일럿 프로젝트를 진행하면서 쿼리문에서 '${}'를 썼다가 코드리뷰에서 지적을 받은 적이 있다. T.T왜 '${ }' 를 쓰면 안 되는지, 그럼 대체방법에는 무엇이 있는지 정리해 본다.       '${}'를 사용하지 말아야 하는 이유 SQL 쿼리문에서 '${ }'를 사용하는 것은 주로 동적으로 값이 들어가는 경우에 활용됩니다.그러나 '${}'는 보안상의 위험이 있습니다. 이를 사용할 경우 SQL Injection 공격에 취약해질 수 있습니다.SQL Injection 공격은 사용자가 입력한 값을 그대로 쿼리에 넣는 경우에 발생할 수 있으며,이를 악용하여 데이터베이스를 손상시키거나 사용자의 개인정보를 유출할 수 있습니다.     '.. DB 2024. 4. 25.