[SW개발보안] SR1-1 DBMS 조회 및 결과 검증 SR1-1 DBMS 조회 및 결과 검증 ⇒ SQL 삽입 보안약점 외부 입력값에 쿼리 조작 문자열 포함 여부를 확인하지 않고 쿼리문을 생성, 실행하는 경우, 쿼리의 구조와 의미가 변경되어서 실행되는 것 [예상 피해] 권한 밖의 데이터 접근이 가능 DBMS 제어권을 탈취 해당 쿼리 실행 통해서 제공하는 기능을 우회 [방어 대책] 외부 입력값에 쿼리 조작 문자열 포함 여부를 확인 후 사용 정적 쿼리 실행을 지원하는 프레임워크 또는 라이브러리를 사용 = 구조화된 쿼리를 실행 = 파라미터화된 쿼리 실행 ⇒ iBatis/myBatis/Hibernate, PreparedStatement 어플리케이션에서 사용하는 DB 사용자의 권한을 최소한으로 부여 → SQL 삽..