본문 바로가기

사전 › Security

Security#Security#Database

SQL Injection란?

사용자 입력을 조작해 의도하지 않은 SQL을 실행시키는 공격. Prepared Statement로 방어.

SQL Injection이란?

사용자 입력이 SQL 쿼리에 그대로 연결되는 코드에서 공격자가 SQL 문법을 끼워 넣어 DB를 조작하는 공격이다.

취약한 코드 예

// ❌ 위험
const q = "SELECT * FROM users WHERE name = '" + input + "'";
// input이 "admin' OR 1=1 --" 이면 전체 조회

방어

Prepared Statement / Parameterized Query 사용
ORM(Prisma, Drizzle 등) 쓰면 기본적으로 안전
최소 권한 원칙 — 앱 DB 유저에게 DROP 권한 주지 말 것
WAF도 보조 수단

관련 기술노트

InfraCloudflare D1 — Edge에서 실행되는 SQLite

DatabaseDuckDB 분석 데이터베이스 — SQLite처럼 쓰는 OLAP

DatabaseSQLite의 부활 — 웹 앱에서 SQLite를 쓰는 이유

함께 보면 좋은 용어

CSRF로그인된 사용자의 권한을 악용해 의도치 않은 요청을 보내게 하는 공격.CVE공개된 보안 취약점에 부여되는 고유 식별자. CVE-연도-번호 형식.OAuth사용자의 비밀번호를 공유하지 않고 제3자에게 제한된 권한을 위임하는 표준 프로토콜.XSS악성 스크립트를 웹 페이지에 주입해 다른 사용자 브라우저에서 실행시키는 공격.

← 전체 사전으로