JSP에서 Sql injection 문제 해결방법

글쓴이: jj / 작성시간: 일, 2004/10/10 - 11:45오후

안녕하세요?

제가 SQL Injection에 대해서 조사를 하고 있는 중입니다.

다름이 아니라, SQL injection이라는 웹 어플리케이션에서의 보안 문제가 있습니다. 혹시 모르시는 분들은 google에서 서치를 해보시길 바라구요.

SQL injection에 대비해서 프로그래머는 사용자가 입력한 문자열중에 따옴표(' or ")가 있는지 검사를 해서 있다면 지워 버리든지, back slash를 사용해서 escape를 해줘야 하죠. (물론 이 두가지로 모든 SQL injection문제가 해결되는건 아닙니다.)

제가 궁금한건, 현업에서 JSP로 일하시는 프로그래머분들은 일반 적으로 어떤 방법을 이용해서 이 처리를 하고 있는지가 궁금합니다. 방법은 여러가지 인데요, 간단하게 jdk 1.4 부터 제공되는 regular expression 처리 API를 이용하던지, 또는 단순하게 직접 char 하나씩 읽어서 처리하는 방법을 이용하는지...

어떤 방법을 주로 사용하시는지요?

Forums:

프로그래밍 QnA

댓글 달기

prepared statement를 이용하세요.

글쓴이: fender / 작성시간: 월, 2004/10/11 - 12:33오전

prepared statement를 이용하세요.

----------------------------
[서명] 그놈 한국 사용자 모임 - 그놈에 대한 모든 것! - 게시판, IRC, 위키, 갤러리 등등...

답글

[quote="fender"]prepared statement를 이용하세

글쓴이: jj / 작성시간: 월, 2004/10/11 - 12:39오전

fender wrote:

prepared statement를 이용하세요.

말씀하신대로 PreparedStatement를 사용하면 Sql injection에서 자유롭다고 하더군요.

그럼 fender님은 항상 prepared statement를 사용하신다는 얘기군요.

다른 분들도 마찬가지인가요?

--
Life is short. damn short...

답글

개인적으로는 직접 jdbc를 호출하기 보다는 hibernate 등의 매핑

글쓴이: fender / 작성시간: 월, 2004/10/11 - 12:51오전

개인적으로는 직접 jdbc를 호출하기 보다는 hibernate 등의 매핑 계층을 넣는 것을 좋아합니다.

어쨌든 jdbc로 코딩할 때는 prepared statement를 쓰지 않을 이유를 못찾겠네요.

----------------------------
[서명] 그놈 한국 사용자 모임 - 그놈에 대한 모든 것! - 게시판, IRC, 위키, 갤러리 등등...

답글

댓글 달기

이름

제목

댓글 *

텍스트 포맷에 대한 자세한 정보

텍스트 양식

Filtered HTML

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
You can use Textile markup to format text.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
Quick Tips:
- Two or more spaces at a line's end = Line break
- Double returns = Paragraph
- *Single asterisks* or _single underscores_ = Emphasis
- **Double** or __double__ = Strong
- This is [a link](http://the.link.example.com "The optional title text")
For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

HTML 태그를 사용할 수 없습니다.
web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
줄과 단락은 자동으로 분리됩니다.

CAPTCHA

이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.

부 메뉴

JSP에서 Sql injection 문제 해결방법

prepared statement를 이용하세요.

[quote="fender"]prepared statement를 이용하세

개인적으로는 직접 jdbc를 호출하기 보다는 hibernate 등의 매핑

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

둘러보기

부 메뉴

현재 위치

JSP에서 Sql injection 문제 해결방법

prepared statement를 이용하세요.

[quote="fender"]prepared statement를 이용하세

개인적으로는 직접 jdbc를 호출하기 보다는 hibernate 등의 매핑

댓글 달기

Filtered HTML

BBCode

Textile

Markdown

Plain text

주 메뉴

검색 폼

둘러보기

사용자 로그인

Oauth2 Login :