SQL Injection(이하 SQL 삽입)은 애플리케이션 보안 취약점 중 하나로, 공격자가 애플리케이션의 데이터베이스 쿼리에 악의적인 SQL 코드를 '삽입'함으로써 데이터베이스를 조작하거나 민감한 정보를 빼낼 수 있는 공격 방법입니다. 이러한 공격은 주로 입력 데이터를 충분히 검증하거나 적절히 처리하지 않는 웹 애플리케이션에서 발생합니다.SQL Injection 방어 방법SQL 삽입 공격을 방어하기 위한 일반적인 방법은 다음과 같습니다:1. Prepared Statements (준비된 명령 사용하기): 데이터베이스 쿼리 실행 시, 사용자 입력 값을 쿼리의 일부로 직접 삽입하는 대신, 준비된 명령(Prepared Statements)을 사용합니다. 이 방식은 SQL 쿼리를 미리 컴파일하고, 실행 시점에 ..

JWT(Json Web Token)와 OAuth는 웹 및 애플리케이션 개발에서 인증과 권한 부여를 다루는 데 널리 사용되지만, 기본적으로 다른 목적과 구조를 가집니다. JWT (Json Web Token) 정의: JWT는 JSON 객체를 사용하여 두 당사자 사이에서 정보를 안전하게 전송하기 위한 표준 포맷입니다. 이 정보는 디지털 서명되어 있어, 검증이 가능하며 변조가 어렵습니다. 주용도: 주로 인증 이후 사용자의 정보와 세션을 표현하는 토큰으로 사용됩니다. 서버는 클라이언트의 요청과 함께 전송된 JWT를 검증하여, 해당 요청이 유효한 사용자로부터 왔는지를 확인할 수 있습니다. 자체 포함적: JWT는 필요한 모든 정보(예: 사용자의 식별 정보, 토큰의 만료 시간 등)를 자체적으로 포함하고 있어, 상태를 ..

OAuth는 오픈 스탠다드 인증 프로토콜로, 사용자가 서드파티 애플리케이션에게 자신의 웹 서비스의 리소스에 대한 접근 권한을 제공할 수 있게 해줍니다. OAuth를 사용하면 사용자는 자신의 로그인 정보를 제3의 애플리케이션과 공유하지 않고도, 그 애플리케이션에게 특정 정보에 접근하거나 특정 기능을 실행할 권한을 부여할 수 있습니다. OAuth의 핵심 개념 리소스 소유자(Resource Owner): 보통 최종 사용자로, 보호되는 리소스에 대한 접근 권한을 부여할 수 있는 역할입니다. 리소스 서버(Resource Server): 사용자의 정보를 보유하고 있는 서버로, 보호된 리소스를 호스팅합니다. 리소스 서버는 액세스 토큰을 통해 보호된 리소스에 대한 접근을 제어합니다. 클라이언트(Client): 사용자 ..

JWT(Json Web Token)는 인터넷 표준으로, 두 당사자 사이에서 JSON 객체를 사용하여 가볍고 자가수용적인 방식으로 정보를 안전하게 전송하기 위해 설계되었습니다. JWT는 주로 사용자 인증과 정보 교환에 사용됩니다. 자가수용적(self-contained)이라는 것은, 토큰 자체가 필요한 모든 정보를 포함하고 있어, 토큰을 받는 측에서는 추가적인 조회 없이도 해당 정보를 검증하고 사용할 수 있다는 의미입니다. JWT는 세 부분으로 구성됩니다: Header, Payload, Signature. Header: 토큰의 타입(주로 JWT)과 해싱 알고리즘(예: HMAC SHA256 또는 RSA)이 포함됩니다 Payload: 토큰에 포함될 클레임(claim) 정보가 포함됩니다. 클레임은 토큰에 대한 속..

단방향 암호화(One-way encryption)는 해시 함수를 사용하여 데이터를 암호화하는 방식입니다. 이 암호화 방식의 핵심은 암호화된 데이터를 원래의 데이터로 복호화할 수 없다는 점입니다. 단방향 암호화는 주로 데이터 무결성 검증, 안전한 비밀번호 저장 등에 사용됩니다. 단방향 암호화의 주요 특징 불가역성(Irreversibility): 단방향 암호화로 처리된 데이터는 원본 데이터로 되돌릴 수 없습니다. 즉, 해시 함수는 복호화 키 없이 원본 데이터를 추출할 수 없도록 합니다. 고유성(Uniqueness): 동일한 입력값에 대해 항상 동일한 출력값(해시)을 생성합니다. 그러나 서로 다른 입력값에서 같은 출력값을 얻는 경우를 해시 충돌(Hash Collision)이라고 하며, 이는 매우 드물게 발생해..

대칭키 암호화(Symmetric-key encryption) 대칭키 암호화에서는 암호화와 복호화 과정에 동일한 키를 사용합니다. 즉, 송신자와 수신자는 메시지를 안전하게 전송하기 위해 미리 공유된 하나의 비밀 키를 사용합니다. 이 방식의 주요 장점은 처리 속도가 빠르다는 것입니다. 그러나 키를 안전하게 교환하고 관리하는 것이 주요 도전 과제입니다. 대표적인 대칭키 암호화 알고리즘으로는 AES(Avanced Encryption Standard)와 DES(Data Encryption Standard)가 있습니다. 비대칭키 암호화(Asymmetric-key encryption) 비대칭키 암호화에서는 암호화와 복호화 과정에 서로 다른 두 개의 키를 사용합니다. 이 두 키는 일반적으로 공개 키와 개인 키라고 불립..

파이썬에서 classmethod와 staticmethod는 클래스를 사용하여 메소드를 정의할 때 사용되는 두 가지 유형의 메소드입니다. 이 두 메소드는 사용 목적과 호출 방식에서 차이가 있습니다. classmethod classmethod는 클래스를 위한 메소드입니다. 첫 번째 매개변수로 클래스 자체(cls)를 자동으로 받습니다. 이 메소드는 클래스 변수와 같은 클래스 레벨의 데이터에 접근하고 수정하는 데 사용됩니다. classmethod는 인스턴스를 생성하지 않고도 클래스 이름을 통해 직접 호출할 수 있습니다. 클래스 메소드는 상속 시, 상속받은 클래스의 객체와 함께 해당 클래스를 가리키는 cls 매개변수를 사용하기 때문에 서브클래스에서도 적절하게 동작합니다. staticmethod staticmeth..

파이썬에서는 클래스의 속성과 메소드에 대한 접근 제어를 다루는 방식이 C++, Java 등의 언어와는 다소 다릅니다. 파이썬은 완전한 은닉성(encapsulation)을 제공하는 접근 제어 지시자(public, protected, private)를 명시적으로 제공하지 않습니다. 대신, 네이밍 컨벤션(naming convention)을 통해 속성과 메소드의 접근 수준을 간접적으로 지시합니다. 파이썬의 접근 제어 지시자: 1 Public 멤버: 기본적으로, 파이썬의 모든 클래스 멤버(속성과 메소드)는 public입니다. 클래스 외부에서 자유롭게 접근하고 수정할 수 있습니다. 예: self.name, self.method() 2 Protected 멤버 (_): 속성이나 메소드 이름 앞에 단일 밑줄(_)을 붙여..