<ul>
<li>SQL 인젝션 공격은 코드의 취약점 이용해서 SQL 쿼리에 코드를 삽입하는 방식으로 공격하는 해킹 수법.</li>
<li>SQL 인젝션 막는 가장 쉬운 방법은 Prepared Statement를 사용하는 것이다.</li>
<li>Prepared Statement를 쓰면 값에 포함된 특수 문자를 알맞게 변환해서 SQL 만들어준다.</li>
</ul>
<hr>
<p>SQL 인젝션 외에도 서버 프로그램 개발시 신경써야될 항목들</p>
<ul>
<li>입력 값 검증
<ul>
<li>클라가 전송한 값이 옳다 가정말고 모든 값을 검증해야한다.</li>
<li>필수 여부, 길이 제한, 미허용 값등을 체크</li>
</ul>
</li>
<li>개인 정보/민감 정보 암호화
<ul>
<li>로그인 암호와 바이오 정보처럼 인증에 쓰는 거 뿐만 아니라 주민 번호, 운전 면허 번호같은거도 암호화</li>
</ul>
</li>
<li>에러 메시지에 시스템 정보 미노출
<ul>
<li>에러 메시지에 내부 IP나 DB IP 같은 시스템 정보가 노출되지 않도록 한다</li>
</ul>
</li>
<li>보안 통신
<ul>
<li>HTTPS 처럼 데이터를 암호화 해서 데이터 유출 방지한다.</li>
</ul>
</li>
<li>CORS(Cross Origin Resource Sharing) 설정
<ul>
<li>허용된 도메인만 서버 자원에 접근할 수 있도록 제한</li>
</ul>
</li>
<li>CSRF(Cross-Site Request Forgery) 대응
<ul>
<li>주요 기능은 타 사이트에서 위조 공격이 들어오는거 방지 위해 CSRF 토큰, SameSite Cookie, 캡차등을 이용한다.</li>
</ul>
</li>
</ul>

시큐어 코딩(Secure Coding)