[Docker/MySQL] JDBC - PreparedStatement 실습

이번 포스팅에서는 저번 글에 이어 PreparedStatement 실습을 해보도록 하겠습니다.

 

Docker와 MySQL을 이용한 JDBC 기본 실습 과정은 아래 글에서 설명하여 생략하였습니다.

JDBC 기본 사용법과 Statement 실습에 대해 궁금하시다면 아래글을 먼저 읽고 오시면 도움이 됩니다 : )

[Docker/MySQL] JDBC - Statement 실습

 

Statement 와 PreparedStatement 차이점

SQL은 인터프리터 구조로, 매 라인을 파싱을 거쳐 실행하는 데 동일한 SQL을 여러 번 실행할 때 Statement을 사용하면 불필요하게 여러번 파싱한 후 처리하게 되고, SQL Injection에 취약하다.

하지만 PreparedStatement를 사용하면 미리 SQL문을 DBMS에서 처리하게 되어 ( Pre-compiled SQL ) Statement의 SQL Injection 문제를 예방 할 수 있다.

Statement는 Dynamic SQL / PreparedStatement는 Static SQL 이라고 생각하면 된다 : )

Prepared Statement는 미리 파싱하여 Pre - Compile 해놓고 호출만 하여 결과를 받아오는 형태라고 할 수 있습니다.

 

SQL Injection이란?

SELECT * FROM Users WHERE id = ' ' OR 1=1; 과 같이 where절 값에 'OR 1 = 1' 을 입력하여 모든 where 절을 참으로 만드는 경우를 의미합니다.

Prepared Statement를 사용하게 되면 이스케이프처리(특정 문자 값을 다른 문자로 변환하는 것)를 하여 SQL Injection을 예방할 수 있습니다 !

 

JDBC 드라이버 설치 및 Tomcat8 설치는 이전 글에서 자세히 다뤘으므로 생략하겠습니다.

 

 

📌 JDBC PreparedStatement jsp 파일 만들기

먼저 미리 생성한 ubuntu를 실행해준다.

docker exec -it ubuntu_new1 bash

 

 

tomcat의 홈으로 이동한뒤, prestatement.jsp 파일을 만들어주세요.

cd /var/lib/tomcat8/webapps/ROOT

nano prestatement.jsp

 

📌 PreparedStatement.jsp 작성하기

결과를 바로 확인할 수 있게 Statement문도 만들어 출력해주었다.

<%@ page import = "java.sql.*" %>
<% PreparedStatement pstmt = null; ResultSet rs = null; Statement stmt = null;
Class.forName("com.mysql.jdbc.Driver");
String dbUrl = "jdbc:mysql://172.17.0.2:3306/employees";
Connection conn = DriverManager.getConnection(dbUrl,"root","yunas");
String SQL = "insert into employees (emp_no,birth_date,first_name,last_name,gender,hire_date) values (?,?,?,?,?,?);";
try {
        pstmt= conn.prepareStatement(SQL);
        pstmt.setInt(1,10000);
        pstmt.setString(2,"2020-12-31");
        pstmt.setString(3,"kim");
        pstmt.setString(4,"yuna");
        pstmt.setString(5,"F");
        pstmt.setString(6,"2021-01-01");
        pstmt.executeUpdate();
        out.println("recored Insert!");

        stmt = conn.createStatement();
        if (stmt.execute("select * from employees where emp_no = 10000;")) {
                rs = stmt.getResultSet();
        }
        while(rs.next()) {
                out.println("emp_no : "+rs.getInt("emp_no"));
                out.println("birthdate : " + rs.getDate("birth_date"));
                out.println("name : " + rs.getString("first_name") + " " + rs.getString("last_name"));
                out.println("gender : " + rs.getString("gender"));
                out.println("hiredate : " + rs.getDate("hire_date"));
        }
        rs.close(); pstmt.close(); stmt.close();
} catch(Exception e) {
        out.println("PreparedStatement Error!"+e);
}
conn.close();%>

 

Statement과 다르게  PreparedStatement로 객체를 생성하고, 

SQL문장을 실행할 때 pstmt.executeQuery() (select) / pstmt.executeUpdate() (insert , update, delete ... ) 로 실행할 수 있다!

 

 

 

📌 Prepared Statement 실행 결과

localhost:8080/prestatement.jsp

 

✔️주의해야할 점 !

PreparedStatement에 Insert문을 넣었기 때문에 localhost:8080/prestatement.jsp를 새로고침하면 다음과 같은 에러가 발생합니다 !

 

 

Statement와 PreparedStatement에 대해 간단하게 실습을 진행해보았는데요, 다음 포스팅에서는 '트랜잭션'에 대한 글을 써보려고 합니다 : )