SQL injection이란?

일상 생활에서 다양한 정보를 기록하기 위해 노트나 다이어리를 사용하듯이, 컴퓨터도 정보를 기록하기 위해 데이터베이스를 사용한다.

이러한 데이터베이스를 관리하는 시스템이 DBMS(데이터베이스 관리 시스템)이다.

DBMS 종류

종류	대표적인 DBMS
Relational(관계형)	MySQL, MariaDB, PostgreSQL, SQLite
Non-Relational(비관계형)	MongoDB, CouchDB, Redis

DBMS에서 관리하는 데이터베이스에는 회원 계정, 비밀글과 같이 민감한 정보가 포함되어 있을 수 있다. 공격자는 SQL injection 공격을 통해 해당 정보를 확보하고 악용하여 금전적인 이익을 얻을 수 있다.

 

SQL injection이란 DBMS에서 사용하는 질의 구문인 SQL을 삽입하는 공격이다.

 

Blind SQL injction이란 SQL 질의 결과가 참/거짓으로 반환 되는 결과로 데이터를 획득하는 공격 기법이다.

 

대응방안

1. 입력값 검증을 통한 필터링

2. 보안장비(웹 방화벽, IDS, IPS 등)을 사용

3. 등등