SQL Injection 방어

오래전에 고객들에게 홈페이지를 새로 만들 경우에는 이런식으로 방어하는게 좋다고 많이 권해 줬던 방식인데 요즘은 잊고 지내고 있었는데 고객사에서 고객이 이야기 하길레 이번에는 꼭 정리를 해놔야겠다. 그래서 다음에 잊어 버리지 않게 ^^;
(작성중으로 아래의 글은 정리가 되지 않은 글입니다.)

■ PreparedStatement

프리컴파일 된 SQL 문을 나타내는 오브젝트입니다.

SQL 문은, 프리컴파일 되어PreparedStatement 오브젝트에 포함됩니다. 거기서, 이 오브젝트는 이 문장을 여러 차례 효율적으로 실행하는 목적으로 사용할 수 있습니다.

주: IN 파라미터치를 설정하는 설정 기능 메서드 (setShort,setString 등)는 입력 파라미터의 정의된 SQL 형과 호환이 있는 형태를 지정하지 않으면 안됩니다. 예를 들어, IN 파라미터에 INTEGER 라고 하는 SQL 형이 있는 경우,setInt 메서드를 사용하지 않으면 안됩니다.

임의의 파라미터형 변환이 필요한 경우는 setObject 메서드는 목적의 SQL 형으로 사용하지 않으면 안됩니다.

파라미터 설정의 예를 다음에 나타냅니다. con는 액티브한 접속을 나타냅니다.

 PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES SET SALARY = ?  WHERE ID = ? "); pstmt.setBigDecimal(1, 153833.00) pstmt.setInt(2, 110592)

http://memorization.tistory.com/tag/preparedstatement