[JAVA] SQL Query문 : Prepared Statement

결론
Prepared Statement
❓ 어떻게 해킹을 하는걸까❓
응용

결론

query문을 넣을 때는

String query = "select * from user2 where name like '" + userName + "'";

이렇게 넣지 말고

String query = "select * from user2 where name like ?";

이렇게 넣자

❓왜❓ → 보안이 취약해지기 때문이다.

Prepared Statement

   public User getUser(String userName, String userPassword) {

        Connection connection = getConnection();
        String query = "select * from user2 where name like '" + userName + "'";

        User user = new User();
        PreparedStatement pstmt = null;
        ResultSet rs = null;

        try {
            pstmt = connection.prepareStatement(query);
            rs = pstmt.executeQuery();

            if (rs.next()) {
                String password = rs.getString(4);

                if (userPassword.equals(password)) {
                    System.out.println("비밀번호 일치 " + password);
                    user.setId(rs.getInt(1));
                    user.setName(rs.getString(2));
                    user.setFullName(rs.getString(3));
                    user.setPassword(rs.getString(4));
                    user.setEmail(rs.getString(5));
                    user.setAge(rs.getInt(6));
                    user.setCreateDate(rs.getTimestamp(7));
                }
            } else {
                user = null;
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }

        return user;
    }

위가 나의 전체적인 코드이다.

문제가 되는 밑 코드를 보자.

String query = "select * from user2 where name like '" + userName + "'";

userName으로 조회하는 쿼리문이다.

userName에 "나 '이 들어간다면 오류가 날 수도 있고, 해킹 당할 수도 있다.

(코드 리뷰를 해주셨는데, 이 부분에서 보안 취약성이 있다면서 알려주셨다.)

❓ 어떻게 해킹을 하는걸까❓

공격자가 사용자 입력 데이터를 조작하여 원하지 않는 쿼리를 실행하거나 데이터베이스에 악의적인 명령을 삽입할 수 있다.

예를 들어, userName 변수에 '' OR '1'='1' 와 같은 값을 입력하면 SQL 인젝션 공격을 수행할 수 있다.

' OR '1'='1'는 하나의 참 조건을 나타내기 때문에, 모든 레코드가 반환될 수 있다.

그래서 공격자는 이 방식을 사용해서 데이터베이스를 조작하거나 민감한 정보에 액세스하려고 시도할 수 있기 때문이다.

그래서 SQL 인젝션 공격을 방지하려면 사용자 입력 데이터를 안전하게 처리하고, SQL 쿼리를 구성할 때는 Prepared Statements 또는 ORM과 같은 안전한 방법을 사용해야 한다.

그래서 SQL 쿼리를 미리 컴파일하고, 실행시에 매개변수 값을 바인딩한다.

사용자 입력을 자동으로 이스케이프하고 SQL 삽입을 방지한다.

그래서 밑처럼 바꿨다.

    public User getUser(String userName, String userPassword) {

        Connection connection = getConnection();
        String query = "select * from user2 where name like ?";

        User user = new User();
        PreparedStatement pstmt = null;
        ResultSet rs = null;

        try {
            pstmt = connection.prepareStatement(query);
            pstmt.setString(1, userName);
            rs = pstmt.executeQuery();

            if (rs.next()) {
                String password = rs.getString(4);

                if (userPassword.equals(password)) {
                    System.out.println("비밀번호 일치 " + password);
                    user.setId(rs.getInt(1));
                    user.setName(rs.getString(2));
                    user.setFullName(rs.getString(3));
                    user.setPassword(rs.getString(4));
                    user.setEmail(rs.getString(5));
                    user.setAge(rs.getInt(6));
                    user.setCreateDate(rs.getTimestamp(7));
                }
            } else {
                user = null;
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }

        return user;
    }

String query = "select * from user2 where name like ?";
// 바꾼 부분

pstmt.setString(1, userName);
// 추가한 부분

이렇게 바꾸면서 보안성을 보존할 수 있었다.

응용

%제목%으로 검색하기.

%가 들어간 제목으로 검색을 하고 싶을 수도 있다. 이럴 때는 %를 \\%로 바꿔서 검색할 수 있다.

쿼리문 : String subject를 인자로 받는다.

      if (subject == null) {
            query = "SELECT a.id, a.subject, a.content, a.createDate, b.id AS creatorId, b.name AS creatorName, b.fullName AS creatorFullName "
                            + " FROM boardpost a, user2 b " + " WHERE a.creatorId = b.id ";
        } else {
            query = "SELECT a.id, a.subject, a.content, a.createDate, b.id AS creatorId, b.name AS creatorName, b.fullName AS creatorFullName "
                            + " FROM boardpost a, user2 b " + " WHERE a.subject like ? and a.creatorId = b.id ";
            escapedSubject = (subject.contains("%")? subject.replace("%", "\\%"): subject);
        }

만약 사용자가 입력한 문자열에 %가 들어있다면 //%로 대체해주기

  pstmt.setString(1, "%" + escapedSubject + "%");

그리고 앞뒤로 %를 넣어줘서 포함 검색이 가능하게 만들어주기

이렇게 해서 보안의 취약성이 사라졌다.

전체 메소드

  public List<BoardPost> getAllBoardPosts(String subject) {
        List<BoardPost> boardPosts = new ArrayList<BoardPost>();
        String query = "";
        String escapedSubject = "";

        // subject에 값이 있다면 결과값 보여주기 / 아니라면 전체 목록 보여주기
        if (subject == null) {
            query = "SELECT a.id, a.subject, a.content, a.createDate, b.id AS creatorId, b.name AS creatorName, b.fullName AS creatorFullName "
                            + " FROM boardpost a, user2 b " + " WHERE a.creatorId = b.id ";
        } else {
            query = "SELECT a.id, a.subject, a.content, a.createDate, b.id AS creatorId, b.name AS creatorName, b.fullName AS creatorFullName "
                            + " FROM boardpost a, user2 b " + " WHERE a.subject like ? and a.creatorId = b.id ";
            escapedSubject = (subject.contains("%")? subject.replace("%", "\\%"): subject);
        }

        Connection connection = null;
        PreparedStatement pstmt = null;
        ResultSet resultSet = null;

        try {
            connection = getConnection();
            pstmt = connection.prepareStatement(query);
            if(subject != null) {                
                pstmt.setString(1, "%" + escapedSubject + "%");
            }
            resultSet = pstmt.executeQuery();
            while (resultSet.next()) {
                User creator = new User();
                long id = resultSet.getLong(1);
                String postSubject = resultSet.getString(2);
                String content = resultSet.getString(3);
                Timestamp dateString = resultSet.getTimestamp(4);

                creator.setId(resultSet.getLong(5));
                creator.setName(resultSet.getString(6));
                creator.setFullName(resultSet.getString(7));


                boardPosts.add(new BoardPost(id, postSubject, content, creator, dateString));

            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            try {
                if (connection != null)
                    connection.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (pstmt != null)
                    pstmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (resultSet != null)
                    resultSet.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        return boardPosts;
    }

'𝙹𝚊𝚟𝚊' 카테고리의 다른 글

[Java] 10진수 ↔ 2, 8, 16진수 변환 (0)	2023.11.19
[Java] "."을 기준으로 split할 때는 \\을 써줘야 한다 / split(".") (0)	2023.11.11
[JAVA] ArrayList removeIf / iterator.remove() / 리스트 요소 삭제하기 (0)	2023.11.02
JUnit Test Case 작성시 유의할 점 : fail() (0)	2023.10.30
[JAVA] java.lang.NumberFormatException (0)	2023.10.29

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

[JAVA] SQL Query문 : Prepared Statement

결론

Prepared Statement

❓ 어떻게 해킹을 하는걸까❓

응용

'𝙹𝚊𝚟𝚊' 카테고리의 다른 글

결론

Prepared Statement

❓ 어떻게 해킹을 하는걸까❓

응용

'𝙹𝚊𝚟𝚊' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역