SQL 인젝션 공격에 대한 필수 인코딩 - mysql_real_escape_string()
우리가 항상 사용하는 로그인 SQL의 기본적인 형태 SQL 삽입(영어: SQL Injection, SQL 인젝션, SQL 주입)은 응용프로그램 보안 상의 허점을 의도적으로 이용해, 개발자가 생각치 못한 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 공격 방법이다. 다음과 같이 사용자의 아이디와 비밀번호를 확인하고 일치하면 로그인을 하는 PHP 프로그램이 있다고 하자. $result = mysql_query("SELECT * FROM member WHERE ID='$id' AND PW='$pw'");if(mysql_num_rows($result)){ // 로그인 성공}else{ // 사용자의 아이디와 비밀번호가 틀리므로 로그인 실패} 일반적인 경우에 위 코드가 어떻게 동작할 지 예상할 수..
■ 백엔드 ■/PHP
2015. 1. 22. 11:54