DB

회사 프로젝트 마무리 단계에서 보안 취약점 검사를 진행했는데 SQL Injection 에 관한 취약점이 다량 발견되었다. SQL Injection은 말 그대로 화면 등에서 SQL을 주입하여 개발자의 의도와 다르게 SQL문을 수행 시키는 것이다. 문제 SELECT id FROM users WHERE id = 'inputId' AND pw = 'inputPw'라는 SQL이 구현됐다 해보자. 만약 사용자가 로그인 화면에서 id에 inputId'-- 라고 넣으면 어떻게 될까? SELECT id FROM users WHERE id = 'inputId'-- AND pw = 'inputPw'결론적으로 --가 패스워드를 검증하는 AND절을 주석 처리하여 ..