sql injection과 jdbc PreparedStatement
jdbc 프로그래밍을 하시다 보면, PreparedStatement랑 statement는 많이 들어보셨으리라 생각이 듭니다. 이 중 전자를 '준비된 구문' 이라고 이야기를 하는데요. 이 둘에 대해서 간단하게 알아보겠습니다. 예제 프로그램 1을 보겠습니다. 그 전에 테이블 t의 필드 a와 b는 varchar형입니다. 필드 최대 길이는 20으로 잡았습니다. 딱히 어려운 것은 없고, Statement라는 것이 있고, 이것은 SQL을 집어넣습니다. 그런데, SQL은 where a' 라는 문자열과 str과 '가 있는 문자열을 연결하고 있어요. str은 어디서 들어올까요? main에서 입력을 받습니다. 그러면 재미있는 장난 한 번 쳐 보겠습니다. a' or 1 = 1# 이라고 입력해 봅시다. mysql에서 주석은 ..
코딩/Sql
2020. 6. 2. 01:14
최근댓글