학습 목표Injection이 신뢰할 수 없는 입력이 인터프리터(SQL·OS·LDAP)에 명령으로 섞일 때 발생함을 설명할 수 있다.SQL injection에서 문자열 연결·동적 쿼리가 쿼리 구조를 바꾸는 방식을 설명할 수 있다.Prepared statement(파라미터 바인딩)로 데이터와 코드를 분리하는 이유를 설명할 수 있다.Command injection과 allowlist·API 대체 실행 방어를 설명할 수 있다.최소 DB 권한·입력 검증·ORM이 defense in depth에서 맡는 역할을 설명할 수 있다.문제 상황로그인 username에 ' OR '1'='1 — 전 사용자 로그인쿼리가 문자열 붙이기로 만들어짐검색 q=; DROP TABLE orders;--` — 백업 없으면 종료앱 DB 계정에..