매개변수화된 SQL: SQL 삽입에 대한 중요한 방어
데이터베이스 보안은 특히 웹 또는 데스크톱 애플리케이션의 외부 입력을 처리할 때 가장 중요합니다. 매개변수화된 SQL 문은 강력한 데이터베이스 상호 작용의 초석이며 SQL 주입 공격을 효과적으로 방지합니다.
취약한 SQL 쿼리를 고려해보세요.
<code class="language-sql">SELECT empSalary FROM employee WHERE salary = txtSalary.Text</code>
악의적인 사용자가 0 OR 1=1을 입력하여 모든 급여를 검색할 수 있습니다. 더욱 위험한 것은 0; DROP TABLE employee과 같은 입력으로 인해 데이터가 손실될 수 있다는 것입니다.
매개변수화된 쿼리가 솔루션을 제공합니다. 사용자 제공 데이터에 자리 표시자를 사용하여 SQL 명령 자체에서 입력을 분리합니다.
C#에서 작동하는 방법은 다음과 같습니다.
<code class="language-csharp">string sql = "SELECT empSalary FROM employee WHERE salary = @salary";
using (SqlConnection connection = new SqlConnection(/* connection info */))
using (SqlCommand command = new SqlCommand(sql, connection))
{
SqlParameter salaryParam = new SqlParameter("salary", SqlDbType.Money);
salaryParam.Value = txtMoney.Text;
command.Parameters.Add(salaryParam);
SqlDataReader results = command.ExecuteReader();
}</code>Visual Basic .NET의 경우:
<code class="language-vb.net">Dim sql As String = "SELECT empSalary FROM employee WHERE salary = @salary"
Using connection As New SqlConnection("connectionString")
Using command As New SqlCommand(sql, connection)
Dim salaryParam = New SqlParameter("salary", SqlDbType.Money)
salaryParam.Value = txtMoney.Text
command.Parameters.Add(salaryParam)
Dim results = command.ExecuteReader()
End Using
End Using</code>핵심은 데이터베이스가 @salary을 실행 가능한 코드가 아닌 데이터 값으로 처리한다는 것입니다. 이렇게 하면 악성 코드가 SQL 명령으로 해석되는 것을 방지할 수 있습니다. 매개변수화된 쿼리를 사용하면 데이터베이스 보안이 크게 강화되어 데이터 침해 및 시스템 손상 위험이 완화됩니다.
위 내용은 매개변수화된 SQL 문이 SQL 삽입 공격을 어떻게 방지할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
