오늘 -_-ㅋ 어딘가 면접을 보고 왔는데,
Secure Coding에 관한 질문을 받았다.
구체적인 질문은 SQL Injection 공격에 대한 방어방법이었는데,
질문을 받자 마자 생각나는 대응책은 허용되지 않은 문자에 대한 필터링 및 치환 방법이었는데,
가장 간단하고 확실한 방법이 위의 내용이라고 알고 있었는데 뭔가 미진했나보다 -_-ㅋ;
원칙적으로는 DB에 일반 문자열로 구성된 쿼리를 실행하면 안되는 것이고,
입력값에 대해 유효성을 검증해야 하며,
저장 프로시저를 통해 매개변수에 대해 강력한 형식을 지정하면 되는 것이다.
일단 개발 취향상 쿼리 전반에 걸친 작업은 모두 프로시저를 통해 작업해와서 그런지
마지막 내용이 생각이 안나드라 오메~
물론 동적쿼리를 사용하는 경우는 Using 문을 통해 입력되는 매개변수에 제한을 걸어줘야 한다는 거
여튼 오늘 면접 죽 쑨 느낌 ㅠ_ㅠ 히잉~
'C# 이야기' 카테고리의 다른 글
| DB Helper (0) | 2015.12.11 |
|---|---|
| C#에서 PDF 핸들링 (0) | 2015.12.09 |
| 소켓 통신 서버에 값 전송 및 받아오기. (0) | 2015.11.17 |
| Visual Studio 2013에서 자동 쌍따옴표 및 괄호 입력 끄기. (0) | 2015.10.19 |
| MVC - Views 폴더 하위에서 정적 컨텐츠 접근시 404 에러 (0) | 2015.08.04 |