제목 : Re : 공부와 관련된건 아니고 SQL인젝션 부분 질문드립니다
|
글번호:
|
|
414
|
|
작성자:
|
|
레드플러스
|
|
작성일:
|
|
2007/03/02 오후 2:27:00
|
|
조회수:
|
|
3146
|
안녕하세요. 송우상님...
ASP.NET은 이미 첫번째 버전에서부터 SQL 인젝션에 대한 처리를 위해서
SqlParameter 클래스를 준비해 놓았습니다.
그리고, 저장 프로시저 사용을 추천하구요...
그러면 특별히 SQL 인젝션에 걸리는 문제는 방지할 수 있습니다.
우상님께서는 제 첫번째 이벤트에 당첨되셔서, 제 강좌를 보실 수 있습니다.
데이터베이스 처리 관련해서
SQL 파라미터 방식 및 SQL 저장 프로시저 방식을 사용하면,
SQL 인젝션 문제를 해결하실 수 있습니다.
모든 매개변수는 반드시 SqlParameter를 통해서 SQL의 저장프로시저로
전달되어져야 합니다.
아니면, ASP때부터 사용해왔던, Replace() 방식을 그대로 적용해도 되구요...
이 또한, 차차 궁금증이 해결될 듯 합니다.
SQL 인젝션 방지를 위해서는 구글에서 SQL Injection을 검색해보시면
좋은 아티클을 많이 만나보실 수 있습니다.
그럼, 좋은 시간되세요..
On 2007-03-02 오후 12:50:00, '송우상' wrote:
------------------------------------------------------------
>회사에서 예전 ASP 프로그래머가 개발한 사이트에 sql인젝션 보안처리가 되어 있지 않다고 문제제기가 들어왔네요 제가 PHP가 주된 업무다보니 ASP는 잘모르겠습니다
>그 직원이 퇴사해서 ASP도 제가 임시로 대충 처리하고 있습니다 헌데 이런 문제제기가 들어와서..관공서사이트라 국정원에서 해킹테스트를 했다고 합니다...
>
>게시판 글보기 페이진데 get 으로 넘어온 파라미터값을
>Replace()로 쿼리문전에 필터링 해주면 되나요? PHP는 설정파일에서 아예 차단 해서 코딩시 신경쓰지 않았었는데 ASP는 어떤지 모르겠습니다
>
>또한 ASP.NET도 웹페이지말고 어플리케이션이나 서버 차원에서 필터링하거나 차단시키는 부분이 있는지요?
>
------------------------------------------------------------