[mybatis] sql injection 예방
SQL injection 공격에 취약하지 않게 mybatis를 사용하자 안전한 사용 SELECT * FROM PERSON WHERE ID = #{id} #{} 구문을 사용하면 기본적으로 아래와 같이 PreparedStatement 파라미터를 생성하고 그 값을 대입한다. /* Comparable JDBC code */ String selectPerson = "SELECT * FROM PERSON WHERE ID = ?"; PreparedStatement ps = conn.prepareStatement(selectPerson); ps.setInt(1, id); 몇 가지 예제를 더 보자 ^^ /* ORACLE */ SELECT * FROM PERSON WHERE USER_NAME LIKE '%' || #{us..
개발
2012. 5. 21. 16:04