현재 버전

5년전 글이긴하지만... 

// tempman 님 말씀처럼 PreparedStatement 문법으로 Parameter Binding을 사용하면

1=1 같은 문법이 필요 없을 뿐더러,

동적 쿼리빌더  같은 것들 보시면 , 파라메터 개수로 WHERE / AND를 구분해서 넣어줍니다.  


애초에 쌩 query을 동적으로 만들어서 날리는것 부터가 잘못된듯 싶네요. 


동적쿼리를 만들더라도 확정쿼리에 파라미터 바인딩을 추천하지 ,

변수를 대입받아 그대로 집어넣는것이야 말고 각종 SQL Injection 대상이 됩니다.


* 잠재적 오류를 발생시키는 모든것은 가급적 자제 해야 한다고 생각합니다.



수정 이력

2019-06-07 15:26:22 에 아래 내용에서 변경 됨 #1

5년전 글이긴하지만... 

// tempman 님 말씀처럼 PreparedStatement 문법으로 Paramete Binding을 사용하면

1=1 같은 문법이 필요 없을 뿐더러,

동적 쿼리빌더  같은 것들 보시면 , 파라메터 개수로 WHERE / AND를 구분해서 넣어줍니다.  


애초에 쌩 query을 동적으로 만들어서 날리는것 부터가 잘못된듯 싶네요. 


동적쿼리를 만들더라도 확정쿼리에 파라미터 바인딩을 추천하지 ,

변수를 대입받아 그대로 집어넣는것이야 말고 각종 SQL Injection 대상이 됩니다.


* 잠재적 오류를 발생시키는 모든것은 가급적 자제 해야 한다고 생각합니다.