- 외부에서 입력된 값이 질의어의 인자값으로만 사용되지 않고, 질의 명령어에 연결되는 문자열로 사용되면, 공격자가 의도하지 않았던 문자열을 전달할 수 있다.
- 문자열 삽입 인자($...$) 를 사용하지 않고 #<인자이름># 형태의 질의문을 사용한다.
DELETE STUDENTS
WHERE NUM = #num# AND Name = '$name$'
▼
DELETE STUDENTS
WHERE NUM = #num# AND Name = '#name#'
반응형
'Web Security > SecureCoding' 카테고리의 다른 글
| 프로세스 제어 (0) | 2022.11.18 |
|---|---|
| 크로스 사이트 스크립트 공격 취약점: DOM (0) | 2022.11.18 |
| 보호 메커니즘을 우회할 수 있는 입력값 변조 (0) | 2022.11.18 |
| 정수 오버플로우 (0) | 2022.11.17 |
| HTTP 응답 분할 (0) | 2022.11.16 |
댓글