SQL 인젝션 방지와 파라미터화된 쿼리 사용법

1. SQL 인젝션이란?

SQL 인젝션(SQL Injection)은 웹 애플리케이션의 보안 취약점을 이용해 악의적인 사용자가 데이터베이스에 악성 SQL 명령어를 삽입하는 공격 기법입니다. 이 공격은 데이터베이스에서 중요한 데이터를 탈취하거나 변경하는 등 심각한 보안 문제를 초래할 수 있습니다.

예를 들어, 웹 애플리케이션에서 사용자가 입력한 데이터를 SQL 쿼리문에 바로 삽입하는 경우, 사용자가 악의적인 SQL 코드를 삽입할 수 있게 됩니다. 이를 통해 데이터베이스의 정보가 유출되거나, 데이터가 손상될 수 있습니다.

2. SQL 인젝션 예시

보통 SQL 인젝션 공격은 웹 애플리케이션에서 사용자가 입력하는 값을 쿼리에 직접 삽입하는 방식에서 발생합니다.

user_input = "1 OR 1=1"  # 악의적인 입력
sql = f"SELECT * FROM users WHERE id = {user_input}"

위 코드에서 user_input 값이 "1 OR 1=1"이라면, 쿼리는 다음과 같이 변형됩니다:

SELECT * FROM users WHERE id = 1 OR 1=1

이 쿼리는 항상 참인 조건이 되어버리므로, 모든 사용자의 정보가 반환됩니다. 이는 SQL 인젝션 공격입니다.

3. 파라미터화된 쿼리 사용법

SQL 인젝션을 방지하기 위해 가장 안전한 방법은 파라미터화된 쿼리(parameterized queries) 또는 준비된 문(prepared statements)을 사용하는 것입니다. 이 방식은 SQL 쿼리에서 변수 값을 별도로 전달하여 값과 쿼리문을 분리시킴으로써, SQL 인젝션 공격을 차단합니다.

파라미터화된 쿼리의 장점

  1. 보안성 강화: SQL 쿼리와 사용자 입력값을 분리하여, 사용자가 삽입한 값이 쿼리문의 일부로 실행되지 않도록 보장합니다.
  2. 자동적인 값 처리: 데이터베이스 드라이버가 입력값을 자동으로 처리하여, 문자열 값을 올바르게 작은따옴표로 감싸고, SQL 문법에 맞게 변환합니다.
  3. SQL 인젝션 방지: 값이 실행되는 SQL 쿼리문에 삽입될 때, SQL 인젝션 공격을 방지할 수 있습니다.

4. 파라미터화된 쿼리 사용 예시

파라미터화된 쿼리는 SQL 쿼리문 내에서 직접 값을 삽입하는 것이 아니라, 값에 대한 플레이스홀더를 사용합니다. 예를 들어, Python의 MySQLdb 라이브러리에서는 %s를 사용하여 값에 대한 플레이스홀더를 설정합니다.

import mysql.connector

# DB 연결
db = mysql.connector.connect(
    host="localhost",
    user="root",
    password="password",
    database="test_db"
)

cursor = db.cursor()

# 파라미터화된 쿼리문 사용
sql = "SELECT * FROM users WHERE id = %s"
cursor.execute(sql, (user_id,))
 
 

위 코드에서 %s는 플레이스홀더로, 실제 값인 user_id는 execute() 메서드를 통해 별도로 전달됩니다. 이 방법은 user_id 값이 무엇이든, SQL 문법에 맞게 안전하게 처리됩니다.

UPDATE 쿼리에서 파라미터화된 쿼리 사용

파라미터화된 쿼리를 UPDATE문에 적용하는 방법도 비슷합니다.

title = "New Title"
content = "Updated Content"
post_id = 1

sql = "UPDATE posts SET title = %s, content = %s WHERE id = %s"
cursor.execute(sql, (title, content, post_id))
db.commit()
 

이 경우, title, content, post_id 값은 각각 자동으로 안전하게 처리되며, SQL 인젝션 공격을 방지할 수 있습니다.

5. 결론

SQL 인젝션은 데이터베이스 보안을 위협하는 주요 취약점 중 하나입니다. 이를 방지하기 위한 가장 안전한 방법은 파라미터화된 쿼리를 사용하는 것입니다. 쿼리문과 사용자 입력값을 분리하고, 데이터베이스 드라이버가 자동으로 값을 처리하도록 함으로써, SQL 인젝션 공격을 예방할 수 있습니다.

따라서 웹 애플리케이션을 개발할 때는 파라미터화된 쿼리를 항상 사용하여 보안을 강화하고, 악의적인 사용자로부터 중요한 데이터를 보호하세요.

참고

  • 파라미터화된 쿼리는 MySQLdb, SQLite, PostgreSQL 등 대부분의 데이터베이스 라이브러리에서 지원합니다.
  • SQL 인젝션 방지 외에도 파라미터화된 쿼리는 쿼리 성능을 향상시킬 수 있습니다.

'기술블로그' 카테고리의 다른 글

Flask : 서비스 기획부터 API 개발까지: 시스템 설계의 전체 흐름(with 프론트엔드 소통)  (0) 2025.04.23
Flask 템플릿 렌더링 with 파머(1/3)  (0) 2025.04.23
Flask에서 애플리케이션에서 동적 라우트와 조건부 템플릿 사용 with 파머(3/3)  (0) 2025.04.22
Flask에서 url_for를 사용한 리디렉션 with 파머(2/3)  (0) 2025.04.22
Flask에서 url_for와 라우트 사용 with 파머(1/3)  (0) 2025.04.22

티스토리툴바