SQL Injection이란? 웹 및 응용프로그램에서 데이터를 조회나 처리할 경우 데이터베이스에 명령을 하는데 이때 처리할 데이터에 악의적인 SQL문을 삽입하여 비정상적으로 데이터베이스를 조작하는 공격 방법이다. 메인 페이지는 찾을 영화를 검색하라는 인풋 박스가 나오고 Search버튼을 클릭 시 DB에 저장되어 있는 영화 제목이 출력되는 것을 확인할 수 있다. like문을 사용하여 요청한 문자열을 포함한 문자열을 찾는 방식으로 추측할 수 있다. 소스코드 확인 시 GET형식으로 title을 받아서 sql에 SELECT문을 사용하여 like % title%를 묻고 그 결과를 출력하는 것을 확인할 수 있다. "'"를 입력하여 오류 메시지가 출력되었고 오류 메시지에는 MySQL을 사용한다는 정보 노출까지 보인다..