>데이터 베이스 >MySQL 튜토리얼 >JDBC ReadyStatement에 매개변수를 안전하게 전달하는 방법은 무엇입니까?

JDBC ReadyStatement에 매개변수를 안전하게 전달하는 방법은 무엇입니까?

DDD
DDD원래의
2024-11-20 02:04:17742검색

How to Securely Pass Parameters to a JDBC PreparedStatement?

JDBCPreparedStatement에 매개변수 전달

JDBC에서는 준비된 문을 한 번 컴파일하고 SQL 문을 효율적이고 안전하게 실행하는 데 사용됩니다. 다른 매개변수를 사용하여 여러 번 실행합니다. 준비된 명령문에 매개변수를 전달할 때 SQL 주입 공격 및 명령문 형식 오류를 방지하려면 매개변수가 올바르게 설정되었는지 확인하는 것이 중요합니다.

문제 설명

제공된 코드 Validation 클래스 생성자에 전달된 userID 매개 변수를 기반으로 데이터베이스 테이블에서 행을 선택하려고 시도합니다. 그러나 명령문에는 매개변수화가 부족하여 잘못된 실행 및 잠재적인 SQL 주입 취약점이 발생할 수 있습니다.

해결책

userID 매개변수를 올바르게 전달하려면 setString() 메서드를 사용하세요. 쿼리 매개변수의 값을 설정합니다. 이렇게 하면 명령문의 형식이 올바르게 지정되고 SQL 주입 공격으로부터 보호됩니다.

statement = con.prepareStatement("SELECT * FROM employee WHERE userID = ?");
statement.setString(1, userID);

이 접근 방식을 따르면 제공된 코드는 지정된 userID 매개변수를 기반으로 데이터베이스 테이블에서 행을 올바르게 선택합니다.

모범 사례

  • SQL 삽입 공격을 방지하고 코드 보안을 강화하려면 항상 매개변수화가 포함된 준비된 문을 사용하세요.
  • 데이터 유형별로 적절한 사용 setXXX() 메소드를 사용하여 매개변수 값(예: setString(), setInt() 등)을 설정합니다.
  • 사용자 입력을 SQL 문에 연결하지 마십시오. 이렇게 하면 애플리케이션이 SQL 주입에 취약해집니다.

위 내용은 JDBC ReadyStatement에 매개변수를 안전하게 전달하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.