SQL Injection 공격 대응법

– 사용자가 입력하는 값은 모두 mysql_real_escape_string() 를 이용하여 처리한다.

– 사용자가 입력하는 값이 정수형일 경우 (int) 로 자료형을 정수형으로 고정

// 예제
$Number = (int)$_POST[Number];

– $_SERVER 배열을 이용한 공격

$_SERVER[REMOTE_ADDR], $_SERVER[HTTP_REFERER], $_SERVER[HTTP_USER_AGENT]
위 값을 사용할때는 mysql_real_escape_string() 함수를 이용해서 처리

// 예제
$remote_addr = mysql_real_escape_string($_SERVER[REMOTE_ADDR]);
$http_referer = mysql_real_escape_string($_SERVER[HTTP_REFERER]);
$http_user_agent = mysql_real_escape_string($_SERVER[HTTP_USER_AGENT]);


 

 

CC BY-NC-SA 4.0 This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.