노무현 전 대통령 서거 - 삼가 고인의 명복을 빕니다


2008.05.19 13:20

[SDL] Giving SQL Injection the Respect it Deserves by Michael Howard

Microsoft SDL 팀의 Michael Howard가 SDL 팀 블로그에 올린 글이다.
SQL Injection을 회피하는 방법에 대해 설명하고 있다.

간략하게 요약하면, 다음과 같다.

  • Use SQL Parameterized Queries
  • Use Stored Procedures
  • Use SQL Execute-Only Permission

결국, 권한 관리 잘 하고, Database schema를 숨길 수 있도록 Stored Procedure를 사용하고, 문자열로 쿼리를 만들어서 SQL Injection에 취약하게 만들지 말고 Parametersized Query를 사용하시라는 말씀.

자세한 내용은 다음 URL 참조.

http://blogs.msdn.com/sdl/archive/2008/05/15/giving-sql-injection-the-respect-it-deserves.aspx

Trackback 0 Comment 0


티스토리 툴바