SQL Injection

Code Injection 공격의 종류

SQL Injection

클라이언트의 입력값을 조작하여 서버의 데이터 베이스를 공격하는 공격 기법

사용자의 입력값에 대한 필터링,이스케이핑이 잘이루어지지 못한 환경

시큐어 코딩의 기본이다.

 

SQL 쿼리문

**쿼리 = 데이터베이스에 정보를 요정하는 것 (http://www.terms.co.kr/query.htm)

MS-SQL

Microsoft 사에서 만든 웹 DB

1. SQL문은 대소문자를 구별하지 않지만 데이터는 대소문자를 구별한다.

2. 여러 주석을 다는 방법은 /* 주석 */ 한줄 주석은 문장 앞에 —를 붙인다.

3. 각각의 데이터베이스의 SYSOBJECTS테이브에 해당 데이터베잇이 모든 정보가 보관되어 있다.

 

USE 데이터베이스명 /USE문을 사용한 데이터베이스 선택

SELECT*FROM 테이블명

 

(https://stophyun.tistory.com/62)

 

 

 

**SYSOBJECTS의 TYPE 칼럼으로

‘U’ = 사용자의 테이블

‘P’ = 저장 프로시저

‘K’ = 프라이머리 키

‘F’ = 포린 키

‘V’ = 뷰

‘C’ = 체크 제약 조건

 

AF = 집계 함수 (CLR)

C = CHECK 제약 조건

D = DEFAULT 제약조건 또는 독립실행형

F = FOREIGN KEY 제약 조건

FN = SQL 스칼라 함수

FS = 어셈블리(CLR) 스칼라 함수

FT = 어셈블리(CLR) 테이블 반환 함수

IF = SQL 인라인 테이블 반환함수

IT = 내부 테이블

P = SQL저장 프로세서

PC = 어셈블리(CLR) 저장 프로시저

PG = 계획 지침

PK = PRIMARY KEY 제약조건

R = 복제필터 프로시저

RF =...

(https://rocabilly.tistory.com/217)

**프로서저 특정작업을 수행하는, 이름있는 PL/SQL BLOCK 이다.

매개변수를 받을 수 있다, 반환값이 없다.(특정 로직 처리 후 종료)

반복적으로 사용 할 수 있는 BLOCK 이다.

보통 반복 또는 복잡한 트랜잭션을 수행하는 PL/SQL BLOCK를 데이터베이스에 저장하기 위해 생성한다.

사용언어: Oracle(오라클)

** 트랜젝션(Transaction)은 데이터베이스의 상태를 변환시키는 하나의 논리적 기능을 수행하기 위한 작업의 단위 또는 한번에 수행되어야할 일렬의 연산등을 의미한다.

(https://coding-factory.tistory.com/226)