dynamic query vs parameter query

자바에서 쿼리를 날리기 전 설정을 할 때 이런 모습들을 한 번씩 볼 수 있을 것이다.

먼저 dynamic query

Scanner sc = new Scanner(System.in); String user_id=""; String user_pw= ""; System.out.print("아이디 : "); user_id = sc.nextLine(); System.out.print("비밀번호: "); user_pw = sc.nextLine(); Connection conn = null; Statement stmt = null; ResultSet rs = null; String sql ="select user_name from member where user_id='"+user_id+"' and user_pw='"+DigestUtils.sha256(user_pw)+"'";

하지만 알고있는가 비밀번호를 몰라도 아이디만으로 들어갈 수 있다.

db의 주석을 이용하여 뚫어버릴 수 있다. 

이걸 방지 하기 위해

우리는 parameter query를 쓰도록 하자

private static void insert(String id,String pw,String name) { String insert = "insert into member(user_id,user_pw,user_name) values(?,?,?)"; try { ps = con.prepareStatement(insert); ps.setString(1, id); ps.setString(2,testSHA256(pw)); ps.setString(3,name); ps.executeUpdate(); }catch(Exception e) { e.printStackTrace(); }finally { } }

위와 다른 소스이지만 이런식으로 만든다는 것만 기억하자!