💻 코딩 일기 : [Spring JDBC] 'PreparedStatement를 사용한 Spring JDBC 구현' 편

🔔 'PreparedStatement를 이용한 Spring JDBC 구현'에 대해서 알아보자!

💟 PreparedStatement

PreparedStatement : SQL 쿼리를 미리 컴파일하여 데이터베이스에 전송하기 전에 파라미터로 전달된 값을 삽입할 수 있습니다.

• SQL Injection 방지

  • SQL Injection : 공격자가 악의적인 SQL 쿼리를 실행하도록 함으로써 데이터베이스에 접근하고 조작하는 공격 기법입니다. 만약 외부에서 SELECT문 WHERE절에서 1=1(항상 참)을 넣어주게 된다면 모든 정보가 노출될 위험이 있습니다.

• 쿼리의 재사용성

• 성능 향상

---

📢 Statement과 PreparedStatement의 차이

Statement:

• 데이터를 직접 쿼리 문자열에 포함해서 작성합니다.
• SQL Injection 공격에 노출될 위험이 있습니다.
  String sql = STR."SELECT * FROM Employees WHERE LastName = '\{searchName}'";

PreparedStatement:

• 쿼리 문자열 대신 ?를 사용해 데이터를 전달합니다.
• 데이터를 파라미터로 전달하고 쿼리 문자열에 포함되기 전에 DB에 안전하게 처리됩니다.
• setXXX()를 사용하여 ? 위치에 값을 설정할 수 있습니다.
  String sql = "SELECT * FROM Employees WHERE LastName = ?";

💟 Statement와 PreparedStatement 관련 예제

🟦 Statement 정적 처리

MyBean252.java

import lombok.AllArgsConstructor;
import lombok.Data;

@Data
@AllArgsConstructor
public class MyBean252 {
    private Integer id;
    private String name;
    private String unit;
    private Double price;
}

Controller25.java

@GetMapping("sub2")
public void method2(@RequestParam(value = "name", required = false) String search,
                    @ModelAttribute("products") ArrayList<MyBean252> list) throws SQLException {

    String sql = STR."""
            SELECT * FROM Products WHERE ProductName LIKE '%\{search}%'
            """;

    Statement statement = dataSource.getConnection().createStatement();
    ResultSet resultSet = statement.executeQuery(sql);

    try(resultSet; statement){
        while (resultSet.next()) {
            Integer id = resultSet.getInt(1);
            String name = resultSet.getString(2);
            String unit = resultSet.getString(5);
            Double price = resultSet.getDouble(6);

            MyBean252 bean252 = new MyBean252(id, name, unit, price);
            list.add(bean252);
        }
    }
}

• @RequestParam(value = "name", required = false) String search : 클라이언트에서 해당 요청을 보낼 때, name 파라미터가 요청에 반드시 포함되지 않기 때문에 URL에 name=이 없어도 에러가 발생하지 않습니다. (선택적 전달)
• 클라이언트가 요청한 name파라미터를 SQL 쿼리에 search에 할당하여 상품을 조회합니다.
• MyBean252 에서 id, name, unit, price를 리스트에 넣어 sub2.jsp에서 ${prodcuts}로 받아 상품 목록을 화면에 출력합니다.

sub2.jsp

<body>
<h3>상품명으로 상품 조회</h3>
<form action="/main25/sub2">
    상품명 :
    <input type="text" name="name" placeholder="상품명을 입력하세요.">
    <input type="submit" value="조회">
</form>
<hr>
<div>
    <c:forEach items="${products}" var="product">
        <h4>${product.id}번 상품</h4>
        <p>상품명 :
            <input type="text" value="${product.name}" readonly>
        </p>
        <p>단위 :
            <input type="text" value="${product.unit}" readonly>
        </p>
        <p> 가격 :
            <input type="text" value="${product.price}" readonly>
            달러
        </p>
    </c:forEach>
</div>
</body>

🟦 PreparedStatement 동적 처리

MyBean256Product.java

import lombok.AllArgsConstructor;
import lombok.Data;

@Data
@AllArgsConstructor
public class MyBean256Product {
    private Integer id;
    private String name;
    private Integer supplierId;
    private Integer categoryId;
    private String unit;
    private Double price;
}

Controller25.java

@Controller
@RequestMapping("main25")
public class Controller25 {
    @Autowired
    private DataSource dataSource;

    @GetMapping("sub6")
    public void mehtod6(String search, Model model) throws SQLException {

        var list = new ArrayList<MyBean256Product>();
        String sql = "SELECT * FROM Products WHERE ProductName LIKE ?";
        String keyword = "%"+search+"%";

        PreparedStatement preparedStatement = dataSource.getConnection().prepareStatement(sql);
        preparedStatement.setString(1, keyword);
        ResultSet resultSet = preparedStatement.executeQuery();

        try(resultSet; preparedStatement){
            while(resultSet.next()){
                Integer id = resultSet.getInt(1);
                String name = resultSet.getString(2);
                Integer supplierId = resultSet.getInt(3);
                Integer categoryId = resultSet.getInt(4);
                String unit = resultSet.getString(5);
                Double price = resultSet.getDouble(6);

                MyBean256Product bean = new MyBean256Product(id, name, supplierId, categoryId, unit, price);

                list.add(bean);
            }
        }

        model.addAttribute("products", list);
        model.addAttribute("prevSearch", search);
    }

}

• SQL Injection 방지를 위해 검색어를 ?로 처리하여 PreparedStatement를 사용함으로써 안전하게 쿼리를 실행합니다.
• keyword는 SQL에서 LIKE 연산자는 와일드 카드(%, _)를 사용하기 때문에 해당 검색어 앞 뒤에 와일드 카드를 추가해야 합니다.
• PreparedStatement 사용하여 setString()을 통해 어느 위치에 값을 넣어주는지 정합니다. 만약 ?가 여러 개일 경우 ? 수 만큼 setXXX() 메서드를 작성하면 됩니다.
• 이전 검색 기록을 유지하기 위해서 ${prevSearch}는 Spring MVC의 Model 객체에 addAttribute() 메서드를 사용하여 추가됩니다. Controller에서 Model.addAttribute("prevSearch", search)와 같이 이전 검색어를 모델에 추가합니다. 그런 다음 JSP 파일에서는 ${prevSearch}를 사용하여 이전 검색어를 출력합니다.
  • 모델에 속성을 추가하는 것은 데이터를 뷰로 전달하기 위한 메커니즘입니다.

sub6.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="c" uri="jakarta.tags.core" %>
<html>
<head>
    <title>Title</title>
    <style>
        table, tr, th, td {
            border: 1px solid black;
            border-collapse: collapse;
        }

        table {
            width: 100%;
        }
    </style>
</head>
<body>
<h3>상품 목록</h3>
<%--action의 값이 없거나 생략되면 현재 요청 경로로 보냄--%>
<form>
    상품명
    <input value="${prevSearch}" name="search" type="text" placeholder="조회할 상품명을 입력해주세요." size="30" >
<%--    form 내의 button 요소는 submit 버튼 역할을 합니다.--%>
    <button>조회</button>
<%--    <input type="submit" value="조회하기">--%>
</form>
<hr>

<c:if test="${empty products}" var="emptyProduct">
    <p style="background-color: beige; padding: 20px 20px; width: 300px">조회된 상품이 없습니다.</p>
</c:if>
<c:if test="${not emptyProduct}">
    <table>
        <thead style="background-color: burlywood">
        <tr>
            <th>아이디</th>
            <th>상품명</th>
            <th>공급업체</th>
            <th>카테고리</th>
            <th>Unit</th>
            <th>가격</th>
        </tr>
        </thead>
        <tbody>
        <c:forEach items="${products}" var="product">
            <tr style="background-color: beige">
                <td>${product.id}</td>
                <td>${product.name}</td>
                <td>${product.supplierId}</td>
                <td>${product.categoryId}</td>
                <td>${product.unit}</td>
                <td>${product.price}</td>
            </tr>
        </c:forEach>
        </tbody>
    </table>
</c:if>
</body>
</html>

• 상품명을 검색해서 조회 버튼을 누르면 조회된 상품이 있다면 해당 상품 목록이 출력되며 조회된 상품이 없다면 '조회된 상품이 없습니다.'라고 출력됩니다.

출력결과

1) 첫 화면 및 조회된 상품이 없을 때

2) 상품이 있을 때 상품 목록 화면

3) 이전 검색 기록이 남겨진 화면