매개변수화된 SQL 문이 SQL 삽입 공격을 어떻게 방지할 수 있습니까?

매개변수화된 SQL: SQL 삽입에 대한 중요한 방어

데이터베이스 보안은 특히 웹 또는 데스크톱 애플리케이션의 외부 입력을 처리할 때 가장 중요합니다. 매개변수화된 SQL 문은 강력한 데이터베이스 상호 작용의 초석이며 SQL 주입 공격을 효과적으로 방지합니다.

취약한 SQL 쿼리를 고려해보세요.

SELECT empSalary FROM employee WHERE salary = txtSalary.Text

악의적인 사용자가 0 OR 1=1을 입력하여 모든 급여를 검색할 수 있습니다. 더욱 위험한 것은 0; DROP TABLE employee과 같은 입력으로 인해 데이터가 손실될 수 있다는 것입니다.

매개변수화된 쿼리가 솔루션을 제공합니다. 사용자 제공 데이터에 자리 표시자를 사용하여 SQL 명령 자체에서 입력을 분리합니다.

C#에서 작동하는 방법은 다음과 같습니다.

string sql = "SELECT empSalary FROM employee WHERE salary = @salary";

using (SqlConnection connection = new SqlConnection(/* connection info */))
using (SqlCommand command = new SqlCommand(sql, connection))
{
    SqlParameter salaryParam = new SqlParameter("salary", SqlDbType.Money);
    salaryParam.Value = txtMoney.Text;

    command.Parameters.Add(salaryParam);
    SqlDataReader results = command.ExecuteReader();
}

Visual Basic .NET의 경우:

Dim sql As String = "SELECT empSalary FROM employee WHERE salary = @salary"
Using connection As New SqlConnection("connectionString")
    Using command As New SqlCommand(sql, connection)
        Dim salaryParam = New SqlParameter("salary", SqlDbType.Money)
        salaryParam.Value = txtMoney.Text

        command.Parameters.Add(salaryParam)

        Dim results = command.ExecuteReader()
    End Using
End Using

핵심은 데이터베이스가 @salary을 실행 가능한 코드가 아닌 데이터 값으로 처리한다는 것입니다. 이렇게 하면 악성 코드가 SQL 명령으로 해석되는 것을 방지할 수 있습니다. 매개변수화된 쿼리를 사용하면 데이터베이스 보안이 크게 강화되어 데이터 침해 및 시스템 손상 위험이 완화됩니다.

위 내용은 매개변수화된 SQL 문이 SQL 삽입 공격을 어떻게 방지할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!