반응형
개념
웹서버가 DB로 쿼리를 날릴 때 악의적인 구문 삽입한 후 실행되도록 공격
나쁜 예
쿼리와 파라미터 단순 조합
const sql = 'SELECT * FROM USER WHERE id=' + id;
또는
const sql = `SELECT * FROM USER WHERE id=${id}`
좋은 예
escapse()함수
또는
? 와 replace 방식
mybatis 같은 방식
반응형
'IT > 코딩 관련 팁' 카테고리의 다른 글
| CMD로 VSC(Visual Studio Code) 열기 [초간단!] (0) | 2021.06.16 |
|---|---|
| 터미널 배경색 변경 및 글자색 관련 사이트 (0) | 2021.06.16 |
| cubrid(큐브리드) (0) | 2021.05.25 |
| UI는 화면중심 MW 기능중심? [내생각] (0) | 2021.01.14 |
| visual studio code editor (비쥬얼 스튜디오 에디터) 확장파일 경로 [tip] (0) | 2021.01.14 |