[JSP] JDBC statement, prepareStatement (SQL 인젝션)

SQL 쿼리 실행 방식

• Statement:
  • 일반적인 SQL 쿼리를 실행할 때 사용됩니다.
  • SQL 쿼리는 실행할 때마다 새롭게 구문 분석되고 컴파일됩니다.
  • 쿼리 내에 매개변수를 포함할 수 없기 때문에 직접 SQL 문에 값을 삽입해야 합니다.
  • SQL 인젝션 공격에 취약할 수 있습니다.
   

  Statement stmt = connection.createStatement(); String sql = "SELECT * FROM users WHERE id = " + userId; ResultSet rs = stmt.executeQuery(sql);
• PreparedStatement:
  • 미리 컴파일된 SQL 문을 실행하는 데 사용됩니다.
  • 쿼리를 작성할 때 ?를 사용하여 매개변수를 설정할 수 있으며, 나중에 값을 할당할 수 있습니다.
  • 동일한 쿼리를 여러 번 실행할 경우 성능이 더 좋을 수 있습니다.
  • 매개변수를 바인딩하는 과정에서 SQL 인젝션 공격을 예방할 수 있습니다.
   

  String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setInt(1, userId); ResultSet rs = pstmt.executeQuery();

2. 성능

• Statement:
  • 매번 쿼리를 실행할 때마다 SQL 구문이 새롭게 컴파일되므로, 동일한 쿼리를 여러 번 실행할 때 성능이 떨어질 수 있습니다.
• PreparedStatement:
  • 쿼리가 처음 실행될 때 한 번 컴파일되고, 이후 실행 시에는 컴파일된 쿼리를 재사용하기 때문에 성능이 향상될 수 있습니다.
  • 데이터베이스에 따라 성능 이점을 더 크게 누릴 수 있습니다.

3. SQL 인젝션 방지

• Statement:
  • 사용자 입력이 SQL 쿼리에 직접 포함되기 때문에 SQL 인젝션 공격에 취약할 수 있습니다.
  • 예를 들어, 사용자가 userId에 ' OR '1'='1 같은 값을 입력하면 전체 데이터가 노출될 수 있습니다.
• PreparedStatement:
  • SQL 쿼리에 사용자의 입력이 매개변수화되므로, SQL 인젝션 공격을 방지할 수 있습니다.
  • 입력 값이 자동으로 적절하게 이스케이프 처리되어 쿼리에 포함되기 때문입니다.

4. 유연성

• Statement:
  • 단순한 쿼리에서는 사용하기 쉽고 직관적입니다.
  • 다만, 동적인 쿼리나 반복적으로 실행되는 쿼리에는 적합하지 않을 수 있습니다.
• PreparedStatement:
  • 매개변수를 활용하여 보다 유연하게 쿼리를 작성할 수 있습니다.
  • 반복적으로 실행해야 하는 쿼리나, 동적인 쿼리에 적합합니다.

 

SQL 인젝션 (SQL Injection)

SQL 인젝션은 공격자가 웹 애플리케이션의 데이터베이스에 악의적인 SQL 코드를 삽입하여, 데이터베이스를 조작하거나 민감한 정보를 탈취하는 보안 취약점입니다. 이는 주로 사용자 입력이 적절히 검증되지 않거나, 쿼리에 직접 포함될 때 발생합니다.