SQL Injection 공격과 대응

이전에 NodeJS Express와 MySql2를 연동하여 토이 프로젝트를 진행한 적이 있다. 그때 사용자의 이메일을 가지고 해당 이메일을 갖는 계정이 존재하는지에 대한 여부를 확인하는 함수를 작성한 일이 있는데, 다음과 같이 구성했다. 당시 서로 코드 리뷰를 해주던 그룹이 있었는데, 한분께서 위 코드를 보시고는 "SQL Injection 공격에 취약해 보인다"라고 피드백을 해주신 기억이 있다. 지금이야 저런 식으로 코드를 구성하는 것이 위험하다는 것을 알고있지만 당시에는 아는 것이 별로 없었기 때문에 SQL Injection을 따로 공부했던 기억이 있다. SQL Injection 이란? SQL Injection은 해커가 프로그래머의 의도에 벗어난 방법을 통해 SQL문을 재구성, DB에 질의하여 사용자의..

2023.02.11