SQL 의 IN 쿼리 함수의 동적쿼리 SQL INJECTION 공격 막아보기
2009. 2. 13.
여러분들이 굳이 c# 코드에 동적쿼리를 실행하게 되다면 sql injection 공격에 노출이 될것입니다. sql injection 공격을 피하기 위해서는 MS 에서는 파라미터화된 쿼리를 구현하도록 유도하는데요. SqlCommand cmd = new SqlCommand("SELECT ID, FullName FROM User WHERE Login=@Login AND Password=@Password"); cmd.Parameters.Add("@Login", SqlDbType.NVarChar, 50).Value = Login.Text; cmd.Parameters.Add("@Password", SqlDbType.NVarChar, 50).Value = Password.Text; SqlCommand cmd = ne..