준비된 진술 : SQL 주입에 대한 강력한 방어

SQL 주입은 여전히 ​​중요한 보안 취약점으로 남아있어 공격자는 악의적 인 목적으로 데이터베이스 쿼리를 조작 할 수 있습니다. 준비된 진술은 강력한 솔루션을 제공하여 이러한 유형의 공격을 효과적으로 방지합니다. 그러나 그들은 어떻게 작동합니까?

준비된 명령문은 매개 변수화 된 쿼리를 사용합니다. 사용자 입력을 SQL 문자열에 직접 포함시키는 대신 자리 표시 자 (예 : "?")와 함께 템플릿 쿼리가 생성됩니다. 그런 다음 실제 값은 setString () , setInt () 등과 같은 메소드를 사용하여 별도로 제공됩니다.

이는 사용자 입력을 SQL 문자열에 직접 연결하는 것과 크게 대비됩니다 (예 : "사용자 값에 삽입 (" "username" ') "). 이 불안한 접근 방식에서 사용자가 주입 한 악성 코드는 실행 된 쿼리의 일부가됩니다. 예를 들어, 사용자는 '를 입력 할 수 있습니다. 드롭 테이블 사용자; -' 테이블의 삭제로 이어지는 것.

준비된 명령문은 SQL 쿼리를 사용자가 제공 한 데이터에서 엄격하게 분리 하여이 위험을 완화합니다 . 자리 표시자는 실행 가능한 SQL 코드가 아닌 데이터로 취급됩니다. 데이터베이스 엔진은 매개 변수 값을 독립적으로 처리하여 악성 코드가 SQL 명령의 일부로 해석되는 것을 방지합니다.

예시 예 :

이 두 코드 스 니펫 비교 :

// Vulnerable to SQL injection
Statement stmt = conn.createStatement("INSERT INTO users VALUES('"   username   "')");
stmt.execute();

// Secure using PreparedStatement
PreparedStatement stmt = conn.prepareStatement("INSERT INTO users VALUES(?)");
stmt.setString(1, username);
stmt.execute();

첫 번째 예제는 SQL 주입에 취약합니다. 두 번째로, 준비된 스테이트를 사용하면 쿼리 구조를 사용자의 사용자 이름 에서 안전하게 분리하여 SQL 주입 시도를 효과적으로 렌더링합니다.

요약하면, 준비된 상태의 핵심 강도는 SQL 쿼리에서 사용자 입력을 분리하는 능력에있어 SQL 주입 및 데이터베이스 무결성을 보호하는 데 강력하고 신뢰할 수있는 방어를 제공합니다.