안녕하세요 에버클럽입니다. 한참동안 못왔네요 최신버전의 아티보드를 패치 받으면 Injection 공격이 기본적인

것은 방어가 된다는 사실도 이제서야 확인 했습니다. 저 같은 경우는 게을러서 그동안 패치를 못하고 있었네요 ..

각설하고 제가 오늘 쓰고자 하는 부분은 요즘 많은분들이 실무에서 SQL Injection 공격을 받아 피해를 보고 있

습니다. 저역시 아무런 방어없이 놀다가 당하고 말았죠 ㅡㅡ;;;

위의 그림은 요즘 많이 당하고 있는 Mass SQL injection 입니다 대체적으로 Script ~ 시작해서 ~ Script 가 끝

나는 형식의 공격이죠 하나의 테이블이 아니라 모든 데이터베이스의 테이블에 입력이 되어 사람 곤란하죠??

여러가지 방법을 써 보았지만 text 형식으로 긴 문장의 경우 삭제가 안되어 Convert 을 이용해 Varchar(8000)

으로 변환할 경우 8000 을 넘는 경우.. 문장이 삭제되어 곤란함을 격었네요..

Mass SQL injection 이라고 네이버 또는 기타 다른 포털에서 검색하면 자세한 내용은 나올테구요 간단하게

방어법을 설명해 드리도록 하겠습니다.

1. 데이터베이스의 권한 삭제 (syscolumns, sys**s)

위의 그림처럼 권한을 삭제합니다. (임시방편일뿐 완벽한 방어는 아님을 알아주세요)

그림을 클릭하여 원본으로 보세요


2. 웹폼을 통한 값을 체크하여 허용되지 않는 문자를 체크합니다.

아티보드의 경우 Dbconnect 폴더에 Dbconnect.asp 파일 제일 상단위에 써주시면 됩니다.

Dim sql_pattern, item, array_counter, item_position1, item_position2

sql_pattern=Array("-",";","/*","*/","@@","@","char","nchar","varchar","nvarchar","alter","begin","cast","create","cursor","declare","dorp","end","exec","execute","fetch","insert","kill","open","select","sys","sys**s","syscolumns","table