.png)
JDBC를 시작한 지 3일째, 정말 투박했던 내 코드에 이것, 저것 넣으면서 볼만하게 만들고 있다.
이런 걸 리팩토링이라고 하는데, 사실 너무 투박한 코드에 당연한 것을 넣는 것이다 보니 ‘리팩토링’이라는 거창한 단어를 못 붙이겠다 ㅠㅠ
하지만 확실히 코드가 훨씬 깔끔해지는 느낌이다.
무튼 오늘은 다음 세 가지를 배워봤다.
📝목차
- PrepareStatement
- try-resource
- 암호화
1. PrepareStatement
[ 문제 ]
기존 실습할 때, 워크시트 용도로 Statement 인스턴스를 사용했다.
근데 가장 큰 문제가 Statement를 사용하면 쿼리를 작성할 때, 다음처럼 문자열을 연결해 만들었는데, 해보면 알겠지만 무지 불편하고 투박하다. 오타는 덤..
"insert into cafe_menu values(cafe_seq.nextval, '"+pname+"', "+price+", '"+iced+"')"이런 불편함을 극복하기 위해 사용하는 게 PrepareStatement 이다.
[ PrepareStatement ]
Statement를 상속받는 클래스이다.Statement의 보안문제와 쿼리작성의 불편함을 제거하였다.Statement를 상속받기 때문에 Statement로 했던 처리를 할 수 있다.- 실행 중 컬럼 명이 바뀌는 동적 쿼리를 짤 때, 사용하기 어렵다.
[ 장점 ]
1) 대부분, 내부적인 동작 방식의 특징상 성능이 더 좋다.
2) ? 로 변수를 설정하기 때문에 변수 설정이 편리하다.
3) 내부적으로 SQL 주입을 방지하기 위한 기능이 있다 (보안 공격이 먹히지 않는다)
[ 사용법 ]
- 인자값을 SQL로 받는다.
- SQL의 빈칸은
?으로 채우고, 이를 인덱스로 인식해 처리한다. (1부터 시작) set으로 들어갈 자료형을 정하고 그에 따라 홑따옴표를 붙여준다.
// (1) SQL 작성
String sql = "delete from cafe_menu where pid=?";
// (2) prepareStatement 인스턴스를 통해 연결
PreparedStatement pstat = con.prepareStatement(sql);
// (3) ? 의 빈 칸을 채워준다.
pstat.setInt(1, 1013);
// (4) 연결을 통해 쿼리를 실행한다. statement처럼 sql을 인자값으로 넣지 않는다.
pstat.executeUpdate();2. try-resource
[ 문제 ]
DB의 연결은 한정적인 자원으로 일정 수 이상, DB에 접속하면 DB서버가 터지고 만다.
그래서 DAO에서 각 기능을 처리할 때, close(); 를 통해 연결을 닫는다.
하지만 한 가지 문제는, 연결이 열리고 메서드가 진행되는 중 예외가 발생하면 DAO의 Callee 메서드들은 모두 throws Exception 으로 main 으로 예외를 전가해버린다.
즉, 코드의 흐름이 예외가 발생하면 main으로 나가서 끝나게 되어 close(); 가 실행되지 않는다.
결국 메서드를 사용할 때마다 연결들이 쌓이게 되고, DB의 한계를 넘어서면 DB가 터진다.
이런 문제를 해결하기 위해 3가지 방법이 있었다.
[ 해결방안 ]
1) try-catch
- 가장 원시적인 방법으로 기존의 예외전가를 없애고 메서드 자체에서 예외처리를 해버린다.
- catch 절을 통해 무조건 닫아주게 해놨다.
- 하지만, catch절의 코드도 동작하다 예외가 발생할 경우 똑같은 문제가 생긴다.
Connection con = null;
try {
con = Driver~
con.close();
} catch{
con.close();
}2) try – catch(다중 가능) - [finally]
- catch는 예외에 따라서 다양하게 적용이 가능하였다. 하지만 앞의 문제는 여전했다.
- 그래서 나온 게
finally절이다.
[ finally ]
try-catch에 한해 메서드를 나가려고 하는 모든 동작에 대해서 실행된다.
- 코드의 흐림이 메서드의 닫는 블록을 만나게 되면, 실행된다.
- 정상이든, 예외이든 항상 마지막에 실행된다.
try {
con = Driver~
~~~
} catch{
~~~
} finally{
con.close();
}3) try – resource : 최신 코드
- 여태 사용하던 try 구문의 사용법과 다르다.
- 똑같이 예외 전가처리를 해주는데, 코드의 흐름이 다를 뿐이다.
try( ① - ③ ){
②
}[ 실행 순서 ]
① 소괄호의 내용을 실행
② 중괄호 실행
③ 소괄호 Close
try(
Connection con = this.getConnection();
PreparedStatement pstat = con.prepareStatement(sql);
){
pstat.setInt(1, pid);
int result = pstat.executeUpdate();
con.commit();
return result;
}-
실행 순서에 따라서 먼저
() 소괄호안에 코드를 실행한다. -
단, 소괄호 안에 오는 코드들은
AutoCloseable클래스를 상속받은 클래스들만 가능하다.
= 닫을 수 있는 객체가 선언되는 코드만 가능 -
리턴, 예외 등 어떤 상황이든
{} 중괄호가 벗어나면 ③이 실행된다. -
PrepareStatement로 빈칸을 채울 때는 이중으로 사용한다.
try(
Connection con = this.getConnection();
PreparedStatement pstate = con.prepareStatement(sql);
){
String encryPw = utils.EncryptUtils.SHA256(pw);
pstate.setString(1, id);
pstate.setString(2, encryPw);
try(ResultSet rs = pstate.executeQuery();){
boolean result = rs.next();
return result;
}
}
3. 암호화
회원가입을 하면 우리가 지정한 PW가 DB에 그대로 들어가게 된다.
이때, DB 관리자가 PW를 볼 수 있게 된다. 물론 봐도 되지만 우리의 PW을 알아봐 선 안된다.
따라서 암호화 작업을 하여 PW을 알아보지 못하게 한다.
- 암호화 알고리즘을 내장한 클래스들이 내장 라이브러리로 제공된다.
- 이를 통해 MD5, SHA256, SHA512등의 메서드를 만든다. (MD5는 무결성에 문제가 있음)
- 복호화가 가능한 양방향 알고리즘을 사용하지 않는다. 단방향 암호화 알고리즘
[ SHA256 ]
- 입력받는 pw의 길이가 몇이든 64인 암호로 반환한다.
- 다른 텍스트여도 같은 암호화가 될 수 있지만, 그 확률이 굉장히 낮다.
- 길이가 64이기 때문에 테이블의 pw 크기는 128로 지정한다.
- 이래서 단방향이라 비밀번호 찾을 때, 새로 입력하라는 거다.
public static String SHA256(String pwd) {
try{
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hash = digest.digest(pwd.getBytes("UTF-8"));
StringBuffer hexString = new StringBuffer();
for (int i = 0; i < hash.length; i++) {
String hex = Integer.toHexString(0xff & hash[i]);
if(hex.length() == 1) hexString.append('0');
hexString.append(hex);
}
//출력
return hexString.toString();
} catch(Exception ex){
throw new RuntimeException(ex);
}
}
// DAO에 적용 시.
String sql = "insert into member values(?, ?)";
String encryPw = utils.EncryptUtils.SHA256(Pw);
pstate.setString(1, dto.getId());
pstate.setString(2, encryPw); // 입력받은 pw을 암호화하여 쿼리에 반영
pstate.executeUpdate(); // 해당 쿼리를 전달
con.commit(); // DB에 반영