[SQL] prepareStatement 주의점

SQL INJECTION을 방지하기 위해 prepareStatement 사용한다.

 

prepareStatement 를 사용할 경우 변수를 ?로 지정해야 한다.

 

아래 소스를 통해 이해해보자.

 

 

위의 소스 처럼 변수를 ?로 치환해야함.

 

 

위의 소스는 SQL INJECTION에 노출