prepared statement 외에는 확실한 방법은 없습니다. 문자 이래저래 아무리 필터링 해봤자 문자 인코딩을 바꾸거나 기상천외한 방법들이 있기 때문에 근본적으로 sql문과 데이터를 분리해야 합니다. orm 이 막아주는 이유는 일반적으로 내부적으로 prepared statement 를 쓰는 경우이서일뿐 orm 이라서 해결이 된다고 보긴 어렵습니다.
윗 분 말에 동감합니다. 보통 보안 취약점 관련 영상은 취약점 소개, 공격 페이로드 확인 및 테스트, 취약점 패치 방법 및 조치가 미흡한 환경에서의 우회 방법과 같은 플로우로 영상이 진행이 됩니다. 취약점 조치 방안이 나오지 않는 영상을 시청하셨다면 윗 분 말대로 그냥 공격 시연 영상 위주로 찾아보신게 아닌가 생각이 듭니다.
와 진짜 댓글 안다는데 이렇게 쉽게 풀어주셔서 정말 감사합니다! 앞으로도 많이 올려주세요!!
5:16 이 꿀팁이 널리 퍼진다면 개발자들 다 죽기때문에 아차 싶어서 영상짜르신것같습니다. 상남자들 화이팅.
보안담당자한테 죽빵 맞고 진짜 죽음 엌ㅋㅋ
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ존나웃김
ㅋㅋㅋㅋㅋㅋㅋ 저거 보고 육성으로 미친놈 나왔다 ㅋㅋㅋㅋㅋㅋ
해킹 아예 모르는 사람인데 주석처리하는거 보고 ㅈㄴ 웃었네 ㅋㅋㅋㅋㅋㅋ 저런 참신한 방법이 ㅋㅋㅋㅋㅋㅋ
유면한 인젝션공격 방법이에요
추석기념 해킹방법공개 ㄷㄷ
세벳돈 자가수급;;
추석때 대응해야할듯 ㅋㅋㅋㅋ
스팸보다 의미있음
아 이렇게 직접 해보니까 강의에서 들었을때보다 휠씬 와닿네요
재밌게보고갑니다👍
최근에 db털리셨나요 요즘 DB 영상을 많이 올리시네
SQL 인젝션에 대한 예시와 설명을 가장 자세하게 해준 최초의 동영상인거 같다
공감입니다. 단어만 들어보고 실제 교육받아본 적이 없어요
비전공자인데 이해한거같읍니다
ㄹㅇㅋㅋ 정처기공부할때나 본건데 그게 이런거였네..
공부삼아 만든 내 사이트 방금 자체검검 결과 딱 뚤리네요 ㅎㅎㅎ 얼른 막았습니다 ! 감사감사요 ~!
교훈 +1. 인젝션 방어도 중요하지만 Api에서 스택트레이스 같은 내부 에러메시지 밖으로 뿜으면 안됨. 예외처리좀!!!
Sql injection 실습 하시고 싶은 분들은 DVWA 실습 환경 구축하면 난이도 선택도 하시면서 실습하실 수 있슴다
ㅋㅋㅋㅋ 오늘도 기대를 저버리지 않았다 5:12
0:18 ㅋㅋㅋ인간 변기
prepared statement 외에는 확실한 방법은 없습니다. 문자 이래저래 아무리 필터링 해봤자 문자 인코딩을 바꾸거나 기상천외한 방법들이 있기 때문에 근본적으로 sql문과 데이터를 분리해야 합니다.
orm 이 막아주는 이유는 일반적으로 내부적으로 prepared statement 를 쓰는 경우이서일뿐 orm 이라서 해결이 된다고 보긴 어렵습니다.
취준생 포폴들 sql인젝션 드가자~
해킹강의보면 욕하는이유가 막기위해 해킹하는방법 알아야한다면서 해킹시도시 해결방법은 안알려주고, 해킹툴사용법 해킹방법, 만 강의 하는데, 여긴 유지보수까지 완벽하네요!
님이 그런것만 봐서 그럼
윗 분 말에 동감합니다. 보통 보안 취약점 관련 영상은 취약점 소개, 공격 페이로드 확인 및 테스트, 취약점 패치 방법 및 조치가 미흡한 환경에서의 우회 방법과 같은 플로우로 영상이 진행이 됩니다. 취약점 조치 방안이 나오지 않는 영상을 시청하셨다면 윗 분 말대로 그냥 공격 시연 영상 위주로 찾아보신게 아닌가 생각이 듭니다.
sql injection에 예방법을 안알려쥬는 영상은 본적이없는데
SQL 인젝션 방어도 중요하지만, 어쨌거나.....토이 프로젝트 급의 작업을 할 땐 가라 데이터 넣기 귀찮다고, 자기 개인정보 넣지 말길......이걸 왜 아냐고요? 아 ㅆㅂ....
ㅋㅋㅋ썰 궁금하네유
챗GPT야 더미 데이터 5개만 만들어줘
ㅋㅋㅋㅋㅋㅋㅋ 상남자 예방법ㅋㅋㅋㅋ 애송이 이건 “공개키” 라는 거다!
인젝션의 방어는 preparedstatement입니다.
나중에 xss도 다뤄주세요
애초에 UI단에 고대로 에러메시지를 출력하게 만들었다는것부터가 이미 개판인 상황이죠.
에러발생하면 back단에서 로그로 출력하고 발생한 에러 case별로 출력할 실패내용을 정리해서 프론트에서 표시하는게 정상이죠.
이 영상보고 코딩애플님 유튜브 계정 탈취했습니다 감사합니다
현직 빅테크 개발자입니다. 개념은 알고 있었는데 주니어 개발자에게 어떻게 설명해야 하는지 찾다가 이 영상을 보게 되었습니다. 정말 많은 도움이 되었습니디.
프리페어드 스테이트먼트를 잘 사용하도록 합시다
코딩애플 유머 개웃김ㅋㅋㅋㅋㅋ
10분전 영사응ㄴ 쌀거같아요 형아,,
재미삼아 웹사이트 하나 만들려는 저란 인간.... 이거 보고 소름이 쫙 돋았습니다 😬
5:08 그 와중에 이름 존 스미스...코딩애플인데 과연 우연일까?ㅋㅋㅋ
하루히??
요즘 orm이 잘 되있어서 orm쓰면 보안해줍니다.
호신술 배우기 전에 상대방이 나의 어디를 어떻게 공격하는지 배우는 기분
주입식 교육 잘 봤습니다~ ㅋㅋㅋㅋ
주입식 에서 '주입' 의 영어인 injection 을 이용한 이중적 언어 유머 이시군요!!
아는만큼 보이는구나 ㄷㄷ
와 계정을 url로 투명하게 공개하면 해킹할 이유가 없어지내 당신은 천재입니까?
우리교수님 앞으로 보안개론 3분틀어줄 영상 바꾸시겠네.
sql escape 꼭 하도록 합시다
고맙습니다. 회사가서 한번 써봐야겠네
아마도 인젝션공격은 요즘 보안이 좋아서 다 막힐꺼에요
왠만한 FE 프레임워크에선 SQL 인젝션을 1차적으로 방어하긴 하는데 그래도 서버단에서 대비는 필요....
프론트엔드는 전부 브라우저나 curl 선에서 조작가능해서 서버 에러처리는 기본인데..;;;
이런거는 정보보안기사를 공부하면 배울 수 있나요?
그냥 개발 기초만 따라갈땐 들어볼 수 없었던 내용이네요
it에서 자격증은 심심할 때 따는겁니다 쓰잘데기없는거만 나와서 실무자들도 시간투자 잘 안해요
정처기에서도 기본적인 보안 내용들은 나옵니다 겉핥기 정도지만여
어느정도는 배웁니다.
이 영상을 보고 코딩애플의 아이디를 찾아냈습니다
언제봐도 질리지 않는 이야기
예시가 너무 극단적이긴해도 ( 나만 그렇게 느끼나.. ) 항상 신경 써야 하는내용이죠.
덕분에 사이트 하나 털었습니다 감사합니다
첫번째 짤 말도 겁나 웃긴데 티이라인데 티아라로 오타도 지리농ㅋㅋㅋ
똘끼💪👍 코딩애플님 😂
오늘 sql인젝션 관련 포스트 봤는데 마침 이게 올라오네 ㄷㄷ
이 영상덕분에 1억달러 인출 안당하고 막았습니다. 감사합니다.
근데 요즘 사이트들은 절대 유저입력을 직접 코드에 안집어넣을 텐데 아직 sql injection이 설 자리가 있나요?
형 개쩐다 다른 예시들도 더 올려줘!!
구매내역 다 털리셨나봄 😂
그만 알려줘 버그바운티할때 이거 하나 터지면 세상 행복하단말이야..
버그바운티에서 sql이 터지나요? 근래에 거의 못본거 같은데
제가 신입으로 처음 개발할때 혼난부분이 그대로 나와있네요 ㅋㅋ
코드는 안짜지만 영상은 챙겨보는
3:17
수업때 괴수님이 설명해주신거 추억이노 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ
db 방법이니 localStorage의 .setItem등등은 안 걸리겠죠?
@@유재남-i7i 이해를 잘 못 했는데요,
확인이 아니라 저러한 공격 방식이 로컬스토리지에 저장하는 방식에서 문제가 될 만 한지, 아닌지 물어볼려 했습니다
펀집 기가막히네요. 내용은 더 말할것도 없구요.
Php 에서 addslashes 쓰는게 sql인젝션 예방에 만능이 아닐 수도 있는건가요??
pdo로 prepared statement를 쓰셔야 합니다
@@yoonuxil 웹개발 1도 공부 안하고 그누보드 야매로 만지면서 조금씩 접해가고 있는데 말씀하신 부분 찾아보면서 모르는 점들 많이 배워갑니다..ㅎ 사용하는부분 전체에 적용이 가능할지 어떨런지는 모르겠지만요ㅠ
인젝션 방어 안한 사이드프로젝트가 얼마나 허수인지 실감이난다
재밌게 봤구요
이제 XSS랑 CSRF같은것들도 설명해주시면 됩니다
이거 치러 왔는데 젠장 늦었다...
50년 넘게 현역인 버퍼오버플로우도 다뤄 주세요
중국 비밀경찰인가 의심받던 동방명주 홈페이지가 sql인젝션으로 테이블 싸그리 드랍되고 난리났었더랬죠잉
이런식으로 쓰는군요. 경력이 제법 되는데 첨 알았네요;;;
하고있는 서비스는 고객정보같은걸 가진게 아니라서 db를 통채로 털어가봐야 아무 의미도 없지만... 그래도 프로시저와 orm을 쓰고 있어서 그나마 다행이었네요
잘 배우고 갑니다
DB 컬럼에 제약사항 넣어주면 안될까유?
ex 아이디 칸에는 영문자만 입력 가능하도록
prepared statement 쓰면 완벽방어됩니다
이 형 개쩌는 형이었네 ㄷㄷㄷㄷ
제 아들 이름은 '; DROP TABLE USER로 할래요
그리고 학교 전산망이 마비되었다고 한다...
근데 누가 DB에 유저 비밀번호를 텍스트로 저장함?
교육기관에서 이렇게만 가르쳤어도 ㅋㅋㅋㅋㅋㅋ
저번에 있던 댓글 그대로 넣으셨네 ㅋㅋㅋ
아...그럼 자동차 번호판에 막 뭐 써서 피하려고한다 이런 해외짤이 SQL injection 방법이었던거군요 ㅋㅋㅋㅋㅋ
DB 삭제 할 수도 있다는 말에 저절로 헐 하게 되네...
5:12 😂😂😂
스프링은 prepared statement 쓰면 알아서 막힘.
정말 놀랍습니다.🎉
sql 인젝션 저거는 예전에 backtrack 쓸때 툴로도 나와있던데 어휴 그게언제야 ...
그러면 아이디에 특수문자를 못넣게하는 것도 예방중에 하나인걸까요
그래서 보통 특문 제한을 걸어서 그냥 해결을 보죠
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋDB 안 쓰고 url에 다 저장하는 상남자 폼 미쳤다
상단에 보안장비 있으면 대부분 막아주는데, 개판으로 만들고 보안장비가 자동으로 차단된거 풀어주세요. 이런분들 실제로 참 많습니다. 개답답..
가장 심플하지만 가장 위험한 공격
그냥 벨리데이션에 막혀버림
유효성 검사에 따옴표나 저런 대쉬같은걸 허용을 안해서
추석이라 성지순례 왔습니다
형 감기 걸렸나보네, 감기약 먹고 쉬엄쉬엄 해
인풋 파라메터 파싱 없이 단순 문자열 포멧팅으로 쿼리문 날리는 식으로 되있나보네ㄷㄷ
자바 백엔드강의 해주시면 조켓습니다..
Same Orgin policy도 알려주세여ㅠ
영상 진짜 깔끔하다
하지마세요. ip 로그 남겨서 블락처리 됩니다. 추후에 로그인 못 할 수 도 있습니다.
영세업체 사이트 로그인도 거의 대부분 다 막혀있는 방법입니다.
이런건 당연히 vpn쓰고 해야되는거 아닌가...ㅋㅋ
근본적인 방법은 아니지만 Form에 특수문자 자체를 차단한다 ㅋㅋ
다음엔 CSRF, XSS, File Upload 가나욧
컴공 지망생인데 해당 내용으로 생기부 써도 괜찮을까요? 고2입니당
해컨데요 막지마세요 제 밥벌입니다..
지난주에 학교에서 sql 인젝션 주제로 발표했었는데.. 수행 쫌만 늦게하지ㅠㅠ
저건 보통 php 이런 언어로 개발됐을 경우에 저러지않나요
PHP도 PDO prepared statements 쓰면
애초 인젝션 방어는 신경 쓸일조차 없는 이슈입니다.
언어의 문제가 아니라 설계의 문제입니다. 생각없이 만들면 어떤 프레임워크를 쓰든 다른 백엔드 언어를 쓰든 그냥 뚤려요
요즘도 쌩 sql문으로 쿼리하는 띨띨이들이 많나? 언제적 인젝션 문제인지
보안관련 영상 진짜 재밌네
2:38 주석??? 시ㅈ.....ㅣ...
오 허술한 스캠들 털어먹는게... 오 진짜 유용한데
원리가 얼탱이 없네ㅋㅋㅋㅋ
보안영상이 ㄹㅇ 꿀잼
코딩애플 사랑해
ㅋㅋ 한참 웃고 갑니다
IQ 추적 너무 무셔
오! 좋은 정보
인젝션 공격시도가 꿀렁꿀렁