DoR@Hee의 끄적끄적

1-1 Blind Sql Injection 이란?- 일반적인 SQL Injection은 DB에서 도출되는 내부 오류를 이용해서 SQL 공격을 하지만 그러한 에러 구문이 안보일 경우 쿼리에 참, 거짓에 따라 다른 만들어내는 데이터를 기준으로 공격하는 방법 1-2 사전 준비 ㅠ 1. mysql > phpmyadmin 에서 Blind Sql injection 을 실습하기 위해서 DB: blind_dbtable: sql_injection 을 생성한다. 테이블 안에는 미리 값을 넣어놨다. "select * from sql_injection" 을 입력 후 결과 12345678910111213141516171819202122Colored by Color Scriptercs 실습을 위해서 간단한 PHP 파일을 만들었다..

1. SQL 인젝션이란? Web Hacking 기법으로써 Database에 쿼리문(질의문)을 넣는 과정에서 데이터를 임의적으로 조작 원하는 SQL 구문을 실행하는 기법 여기서 일반적인 Sql DBMS 내부적인 과정(parse, bind, execute, fetch)을 거치게 된다. >> Statement 객체 사용 시 여기서 일반적인 Statement를 사용하여 Select문을 입력했을 때에는 매번 모든 과정을 수행한다(parse > patch)그러나 PreparedStatement 객체를 사용할 경우 효율을 높이기 위해 최초 1번만 수행하고 이후에는 생략이 가능하다. parse 모두 거친 후에 생성된 결과는 메모리에 저장해두고 필요할 때 사용한다. 반복적으로 사용하기 위해 자주 변경되는 부분을 변수(?..