PreparedStatement (1) 썸네일형 리스트형 SQLI - Statement & PreStatement SQLI - statement & prepared statement 구분 내용 Statement 외부 입력값이 쿼리값에 직접 삽입되는 구조 -> 취약 String data1 = "외부 입력값1" String data2 = "외부 입력값2" String sql = "insert into member values('"+data1+"', '"+data2+"); Prepared Statement 위와는 다르게 직접적으로 변수를 지정하지 않고, ?로 표시하는 바인드 형태의 변수를 사용한다. 또한, 입력값은 setXXX형태로 설정하여 입력을 처리하기 때문에 쿼리구조가 사전 컴파일된다. 즉, 외부의 악의적 입력값에도 쿼리구조는 변경되지 않기 때문에 statement방식에 비하여 안전한다. Pre.. 이전 1 다음