사용자 입력 유효성 검사
데이터에 액세스하는 응용 프로그램을 구성하는 경우 유효성이 입증되기 전에는 모든 사용자 입력을 악의적인 것으로 간주해야 합니다. 그렇지 않으면 애플리케이션이 공격에 취약해질 수 있습니다. 발생할 수 있는 공격 유형 중 하나는 SQL 삽입이라고 합니다. 이 공격에서는 구문 분석 및 실행을 위해 SQL Server 인스턴스로 전달되는 문자열에 악성 코드가 추가됩니다. 이러한 유형의 공격을 방지하려면 가능한 경우 매개 변수와 함께 저장 프로시저를 사용하고 항상 사용자 입력의 유효성을 확인해야 합니다.
서버로의 왕복을 낭비하지 않도록 클라이언트 코드에서 사용자 입력의 유효성을 확인하는 것이 중요합니다. 서버의 저장 프로시저에 대한 매개 변수의 유효성을 확인하는 것도 똑같이 중요합니다. 그러면 클라이언트 쪽 유효성 검사를 우회하는 입력을 포착할 수 있습니다.
SQL 삽입 및 이를 방지하는 방법에 대한 자세한 내용은 SQL 삽입을 참조하세요. 저장 프로시저 매개 변수의 유효성을 확인하는 방법에 대한 자세한 내용은 저장 프로시저 및 관련 문서를 참조하세요.