자리 표시자, SQL 주입?

요 며칠 수업 시간에 학우들이 코드를 가져와서 나에게 이 코드에 무슨 문제가 있느냐고 물었다. 나는 잠시 보고 "Connection과Prepared Statement도 끄지 않았다"고 말했다.그는 이 방면의 문제뿐만 아니라 sql 주입 문제도 있다고 말했다. 나는 점위부호를 사용해서 sql 주입 문제가 존재하지 않는다고 단호하게 말했지만 그는 상황을 제기했다. 내가 보기에도 일리가 있는 상황이다.

pstmt = conn.prepareStatement("delete from user where user.id=?");

pstmt.setString(1, "w");
그는 코드를 이렇게 쓰면 주입 문제가 있다고 생각한다

pstmt = conn.prepareStatement("delete from user where user.id=?");
pstmt.setString(1, "w' or '2'='2");

당시에 나는 그에게 주입 문제가 존재하지 않는다고 말할 수 밖에 없었다. 왜냐하면 내 생각에서 나는 점위부호로 주입 문제를 해결할 수 있다는 것을 기억했기 때문이다. 어떻게 해결해야 할지 모르겠다. 위의 코드를 봐도 일리가 있다. setString 후의 sql 문장은

delete from user where user.id='w' or '2'='2';

기숙사에 돌아가서 저는 프로그램 테스트를 썼습니다. 사실은 우리가 이렇게 생각하지 않았음을 증명했습니다. 자리 차지 문자를 사용하면 주입 문제가 존재하지 않기 때문에 실행할 때 일부 문자를 전의시켰다고 설명했습니다. 그러나 이 전의의 과정은 어디에서 전의되었을까요? 위의 sql 문구를 mysql 컨트롤러에서 실행하고 데이터를 살펴보면 모든 데이터가 삭제된 것을 볼 수 있습니다.그것은 자바 프로그램에서 전의된 것으로 해석될 수 밖에 없다. 그래서 나는 자바의 원본 코드를 보러 갔는데 자바 원본 코드에서Prepared Statement는 하나의 인터페이스일 뿐이고 하위 클래스의 인터페이스가 없다는 것을 발견했다. 나는 궁금해서 어떻게 사용하는지 모르겠다.그래서 반드시 실현된 부분이 있다. 인터넷에 가서 찾아봤는데 jdk는 인터페이스를 직접 제공했다. 구체적인 실현은 데이터베이스 제조업체가 실현한 것이다. 우리가 사용하는 것은 바로 데이터베이스 제조업체가 실현한 유형이다.그래서 나는 mysql의jar 패키지 원본 코드를 찾아갔는데 어떤PreparedStatement가 jdk의PreparedStatement를 실현한 것을 발견했다.의 setString 방법은 다음과 같습니다.

public void setString(int parameterIndex, String x) throws SQLException {
		// if the passed string is null, then set this column to null
		if (x == null) {
			setNull(parameterIndex, Types.CHAR);
		} else {
			StringBuffer buf = new StringBuffer((int) (x.length() * 1.1));
			buf.append('\'');

			int stringLength = x.length();

			//
			// Note: buf.append(char) is _faster_ than
			// appending in blocks, because the block
			// append requires a System.arraycopy()....
			// go figure...
			//
			for (int i = 0; i < stringLength; ++i) {
				char c = x.charAt(i);

				switch (c) {
				case 0: /* Must be escaped for 'mysql' */
					buf.append('\\');
					buf.append('0');

					break;

				case '
': /* Must be escaped for logs */
					buf.append('\\');
					buf.append('n');

					break;

				case '\r':
					buf.append('\\');
					buf.append('r');

					break;

				case '\\':
					buf.append('\\');
					buf.append('\\');

					break;

				case '\'':
					buf.append('\\');
					buf.append('\'');

					break;

				case '"': /* Better safe than sorry */
					if (this.usingAnsiMode) {
						buf.append('\\');
					}

					buf.append('"');

					break;

				case '\032': /* This gives problems on Win32 */
					buf.append('\\');
					buf.append('Z');

					break;

				default:
					buf.append(c);
				}
			}

			buf.append('\'');

			String parameterAsString = buf.toString();

			byte[] parameterAsBytes = null;

			if (!this.isLoadDataQuery) {
				parameterAsBytes = StringUtils.getBytes(parameterAsString,
						this.charConverter, this.charEncoding, this.connection
								.getServerCharacterEncoding(), this.connection
								.parserKnowsUnicode());
			} else {
				// Send with platform character encoding
				parameterAsBytes = parameterAsString.getBytes();
			}

			setInternal(parameterIndex, parameterAsBytes);
		}
	}

이것으로 단락을 짓고 set String 시 가장 바깥쪽에 있는 인용부호가 전의되었다는 것을 알 수 있다. 즉, set String 후의 sql 문장은 이렇다는 것이다.

delete from user where user.id=\'w' or '2'='2\';

그리고 자세히 보면 set String에서 한 글자 한 글자의 해석을 발견할 수 있다. 이 해석의 의미는 모두 이미 바뀌었다. 마치 그의 주석에 쓴 Better safe than sorry와 같다.그래서 최종적으로 점위부호는 주입 문제가 존재하지 않는다