SQL Injection

SQL Injection(이하 SQL 삽입)은 애플리케이션 보안 취약점 중 하나로, 공격자가 애플리케이션의 데이터베이스 쿼리에 악의적인 SQL 코드를 '삽입'함으로써 데이터베이스를 조작하거나 민감한 정보를 빼낼 수 있는 공격 방법입니다. 이러한 공격은 주로 입력 데이터를 충분히 검증하거나 적절히 처리하지 않는 웹 애플리케이션에서 발생합니다.

SQL Injection 방어 방법

SQL 삽입 공격을 방어하기 위한 일반적인 방법은 다음과 같습니다:

1. Prepared Statements (준비된 명령 사용하기): 데이터베이스 쿼리 실행 시, 사용자 입력 값을 쿼리의 일부로 직접 삽입하는 대신, 준비된 명령(Prepared Statements)을 사용합니다. 이 방식은 SQL 쿼리를 미리 컴파일하고, 실행 시점에 사용자 입력 값을 매개변수로 전달합니다.
2. Stored Procedures (저장 프로시저 사용하기): 데이터베이스에 미리 정의된 저장 프로시저를 호출하여 사용자 입력을 처리합니다. 이 방법도 SQL 쿼리에 사용자 데이터를 동적으로 삽입하는 대신, 매개변수를 통해 데이터를 전달합니다.
3. 입력 값 검증하기: 사용자로부터 받은 모든 입력 데이터에 대해 엄격한 검증을 수행합니다. 예를 들어, 숫자나 이메일 주소 등 예상되는 형식과 일치하는지 확인합니다.
4. ORM 사용하기: 객체 관계 매핑(Object-Relational Mapping, ORM) 라이브러리를 사용하면, SQL 쿼리를 직접 작성하는 대신, 객체 지향 방식으로 데이터베이스와 상호작용할 수 있습니다. 많은 ORM 라이브러리들이 내부적으로 SQL 삽입 공격을 방어하는 기능을 제공합니다.

코드 예시

아래는 Python에서 SQL Injection 방어 방법 4가지에 대한 간단한 코드 예시입니다. 이 예시들은 각각의 방어 기법을 사용하여 데이터베이스 쿼리를 안전하게 실행하는 방법을 보여줍니다.

1. Prepared Statements 사용하기

sqlite3 라이브러리를 사용한 준비된 명령(prepared statement) 예시입니다. 이 방법은 SQL 쿼리를 안전하게 실행하는 가장 기본적인 방법 중 하나입니다.

import sqlite3

conn = sqlite3.connect('example.db')
c = conn.cursor()

# 사용자 입력
user_input = 'user_id_here'

# 준비된 명령을 사용하여 안전하게 쿼리 실행
c.execute("SELECT * FROM users WHERE id=?", (user_input,))

print(c.fetchall())

conn.close()

2. Stored Procedures 사용하기

Stored Procedures는 특정 SQL 데이터베이스 시스템에 따라 구현 방법이 다를 수 있습니다. 아래는 MySQL을 사용하는 경우의 예시입니다. Python에서는 PyMySQL 라이브러리를 사용할 수 있습니다.

import pymysql

connection = pymysql.connect(host='localhost',
                             user='user',
                             password='passwd',
                             database='db',
                             cursorclass=pymysql.cursors.DictCursor)

with connection:
    with connection.cursor() as cursor:
        # 저장 프로시저 호출
        cursor.callproc('procedure_name', ['param1', 'param2'])
        # 결과 가져오기
        result = cursor.fetchall()
        print(result)

이 예시에서 'procedure_name'은 데이터베이스에 미리 정의된 저장 프로시저의 이름이며, 'param1', 'param2'는 그 프로시저에 전달할 매개변수입니다.

3. 입력 값 검증하기

Python에서 정규 표현식을 사용하여 입력 값을 검증하는 예시입니다.

import re

# 사용자 입력
email_input = 'user@example.com'

# 이메일 형식 검증을 위한 정규 표현식
if re.match(r"[^@]+@[^@]+\.[^@]+", email_input):
    print("Valid email")
else:
    print("Invalid email")

4. ORM 사용하기

Python의 SQLAlchemy ORM을 사용하는 예시입니다. ORM을 사용하면, SQL 쿼리를 직접 작성하지 않고 객체 지향 방식으로 데이터베이스 작업을 수행할 수 있습니다.

from sqlalchemy import create_engine
from sqlalchemy.orm import sessionmaker
from sqlalchemy.ext.declarative import declarative_base
from myapp.models import User

engine = create_engine('sqlite:///example.db')
Session = sessionmaker(bind=engine)
session = Session()

# 사용자 입력
user_id = 1

# ORM을 사용하여 안전하게 쿼리 실행
user = session.query(User).filter(User.id == user_id).first()

if user:
    print(user.name)

이 코드에서 myapp.models는 사용자 정의 모듈이며, User는 데이터베이스의 사용자 테이블을 나타내는 모델 클래스입니다.

각 방법은 특정 상황과 요구 사항에 따라 적합할 수 있으며, 종종 함께 사용되어 애플리케이션의 보안을 강화합니다.