눈사람의 해킹공부

웹 애플리케이션에 대한 보안 공격은 다양한 형태로 나타납니다. 그 중에서도 SQL 인젝션은 데이터베이스에 직접적인 명령을 주입하여 인증을 우회하거나 데이터를 무단으로 조회하는 공격 기법입니다. 이 포스트에서는 SQL 인젝션의 여러 사례와 함께 이를 방지하기 위한 기본적인 전략을 살펴보겠습니다. SQL 인젝션의 개념 SQL 인젝션은 공격자가 애플리케이션의 입력 필드를 통해 악의적인 SQL 코드를 데이터베이스 시스템에 주입하는 행위입니다. 이 공격은 주로 데이터베이스와 상호 작용하는 웹 폼을 통해 이루어집니다. 공격자는 데이터베이스 쿼리의 일부로 실행될 수 있는 코드를 입력함으로써, 애플리케이션을 속여 원래의 쿼리 구조를 변경하게 만듭니다. 공격 방법 예를 들어, 서버 측에 준비된 쿼리가 다음과 같다고 설정..

이 포스트에서는 php 세션을 이용한 간단한 로그인 페이지 만들기를 다룹니다. 지난 포스트 했던 DB를 활용하지 않고 했던 버전과 달리 이번에는 데이터베이스(mysql)을 활용하여 로그인 정보를 저장하고 로그인되는 페이지를 만들어보겠습니다. 먼저 로직은 이렇습니다. 메인(index.php)은 로그인 페이지 링크를 생성합니다. 로그인 페이지(login.php)는 로그인용 폼을 만들고 회원가입 페이지로가는 버튼과 로그인 처리용 페이지를 만들어서 처리합니다. 회원가입 페이지에서 회원가입을 할 경우 아이디와 비밀번호, 닉네임을 데이터베이스에 저장합니다. 로그인 처리 페이지(login_ok.php)는 데이터베이스에 저장한 계정 정보를 대조하여 로그인 성공 시 그 상태로 메인으로 복귀, 실패 시는 실패 안내 후 로..