- 프런트엔드
- HTML| CSS| JavaScript| Vue.js
최신 권장사항
-
Php8, 나도 갈게
84669인 학습
- 네이티브 파운데이션
- HTML| CSS| HTML5| CSS3| JavaScript
최신 권장사항
-
30분 안에 웹사이트 레이아웃 배우기
152542인 학습
- 기초 소개
- MySQL| SQL Server
최신 권장사항
-
Shangguan Oracle 초보자부터 능숙한 비디오 튜토리얼까지
20005인 학습
최신 권장사항
-
UNI-APP 코드의 첫 번째 줄
5487인 학습
-
처음부터 앱 실행까지 Flutter
7821인 학습
최신 권장사항
-
-
Zero 기본 숙련도 PS 비디오 튜토리얼
180660인 학습
-
시작하는 데 도움이 되는 16일 UI 비디오 튜토리얼
48569인 학습
-
PS 기술 및 슬라이싱 기술 비디오 튜토리얼
18603인 학습
최신 권장사항
-
Alibaba Cloud 환경 구축 및 프로젝트 출시 비디오 튜토리얼
40936인 학습
-
컴퓨터 네트워크 개요 - 프로그래머가 마스터해야 하는 기본 지식
1549인 학습
-
프로그래머를 위한 필수 튜토리얼 - HTTP 프로토콜 설명
1183인 학습
-
웹소켓 비디오 튜토리얼
32909인 학습
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
내가 아는 한, 적어도 Oracle이나 Sql Server에서는 매개변수화된 쿼리를 사용하여 DDL 문을 실행하거나 테이블 이름을 지정할 수 없습니다. 미친 TruncateTable 함수가 있어야 하고 SQL 주입을 피할 수 있어야 한다면 입력이 안전하게 잘릴 수 있는 테이블인지 확인하는 저장 프로시저를 만드는 것입니다.
으아악SQL 주입을 방지하기 위한 가장 일반적인 조언은 SQL 쿼리 매개변수를 사용하는 것입니다(이 스레드의 여러 사람들이 이를 제안했습니다).
이 경우에는 잘못된 답변입니다. DDL 문의 테이블 이름에는 SQL 쿼리 매개변수를 사용할 수 없습니다.
SQL 쿼리 매개변수는 SQL 표현식의 리터럴 값 대신에만 사용할 수 있습니다. 이는 모든 SQL 구현의 표준입니다.
테이블 이름이 있는 경우 SQL 삽입을 방지하기 위한 권장 사항은 알려진 테이블 이름 목록과 비교하여 입력 문자열의 유효성을 검사하는 것입니다.
에서 유효한 테이블 이름 목록을 얻을 수 있습니다. 으아악INFORMATION_SCHEMA:이제 입력 변수를 이 쿼리에 SQL 매개변수로 전달할 수 있습니다. 쿼리가 행을 반환하지 않으면 입력이 유효하지 않으며 테이블로 사용할 수 없다는 의미입니다. 쿼리가 행을 반환하면 일치하므로 더욱 안심하고 사용할 수 있습니다.
@John Buchanan이 suggested에 따라 응용 프로그램에서 잘라낼 수 있는 것으로 정의한 특정 테이블 목록에 대해 테이블 이름을 확인할 수도 있습니다.
으아악tableName이 RDBMS에 테이블 이름으로 존재하는지 확인한 후에도 테이블 이름에 공백이나 특수 문자를 사용하는 경우를 대비해 테이블 이름을 구분하는 것이 좋습니다. Microsoft SQL Server에서 기본 식별자 구분 기호는 대괄호입니다.이제
tableName가 실제 테이블과 일치하고 실제로 테이블 이름에 대괄호를 사용하는 경우에만 SQL 주입의 위험이 있습니다!