Notice
Recent Posts
Recent Comments
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- XML
- injection
- sql랭킹
- FileSystemObject
- 이미지세로길이
- array
- inner join
- sql업데이트
- 자바기초
- sql순위
- asp함수
- MSSQL보안
- VarType
- jdbc driver
- update
- wap
- instr
- 인젝션
- SPLIT
- JavaScript
- xmldom
- 이미지가로길이
- ERD
- join
- 정규식
- tempDB
- WML
- VARIABLE
- 한글입력체크
- javascript 한글입력체크
Archives
- Today
- Total
목록SQL 인젝션 (1)
3초기억력
MS-SQL UPDATE문을 제대로 쓰자 3탄
테이블 : 어떤 칼럼에 특정 문자열을 지우고 싶을때. update 테이블명 set 칼럼명 = replace(칼럼명, '특정문자열', '') where 칼럼명 like '%특정문자열%' 예전에 SQL인젝션 공격에 의해서, 몇개의 테이블(인젝션 공격을 막기위한 스크립트를 안넣었던 페이지에 걸린 테이블만...ㅡㅡ)에 " " 가 varchar, text 형식에 모두 들어가버려서 ㅜㅜ 아주 곤란할때 썼던 방법 sql 인젝션에 당하지 말려면 "" 이건 특히나 request 받을 때, 다른 문자로 치환해서 저장해야한다. 안그럼 저런 공격에 맥을 못춤. 예를들면, 검색페이지등에 post방식이던 get방식이던 변수에 값을 넣어서 결과페이지에 뿌릴텐데. xxxx.com/a.asp?search_txt=나나나
쿼리_MSSQL
2008. 11. 18. 13:32