에러 메시지에는 필요한 최소한의 정보만 담는 것이 원칙이다.
앞서 Error Based SQL Injection에서는 공격자가 고의로 에러를 유발시켜 에러 메시지에서 직접적으로 정보를 탈취했다. 따라서 이런 공격을 막기 위해 에러 메시지를 출력하지 않는 코드를 추가했다.
<?php
ini_set( 'display_errors', '0' );
?>이 코드를 상단에 추가하면 에러 메시지를 출력하지 않는다.
Error Based SQL Injection이 불가능해졌다.
728x90
'웹 보안' 카테고리의 다른 글
| SQL Injection - 방어 실습(2), Prepared Statement (0) | 2022.12.22 |
|---|---|
| SQL Injection - 방어 실습(1), 입력값 검증 (0) | 2022.12.22 |
| SQL Injection - 공격 실습(4), Blind SQL Injection (0) | 2022.12.22 |
| SQL Injection - 공격 실습(3), Error Based SQL Injection (2) | 2022.12.18 |
| SQL Injection - 공격 실습(2), UNION Based SQL Injection (0) | 2022.12.18 |