반응형

궁금은 했지만 알아보기 귀찮은 #{} ${} 개념과 차이점을 아주 명확하고 확실하게 알아보도록 하겠습니다.

 

먼저 PreparedStatement 와 Statement를 알아야 한다.

 

간단하게 할게요;;

 

 

PreparedStatement


String sqlstr = "SELECT name, memo FROM TABLE WHERE num = ? " 
PreparedStatement stmt = conn.prepareStatement(sqlstr); 
pstmt.setInt(1, num);
ResultSet rst = pstmt.executeQuerey(); 

메모리에 올라가게 되므로 동일한 쿼리의 경우 , 매번 컴파일 되지 않아도 된다는 이점 성능

 

Statement


String sqlstr = "SELECT name, memo FROM TABLE WHERE num = " + num 
Statement stmt = conn.credateStatement(); 
ResultSet rst = stmt.executeQuerey(sqlstr); 

executeQuerey() 마다 매번 컴파일함 성능

 

주인공 아니니까 여기까지 자세한건 검색~

 

#{}

 

사용 과정


1.#{} 사용시 PreparedStatement 생성

2.PreparedStatement 매개 변수 안전하게 설정

3. PreparedStatement 제공하는 set 계열의 메소드를 사용하여 물음표(?) 대체할 값을 지정.

4.들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음

들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음

들어오는 데이터 문자열로 인식하기 때문에 자동 따옴표 붙음

 

 

사용 이유


안전하고 빠르기 떄문에 선호

빠를까??

Prepared (준비)

여기서 말하는 준비는 컴파일(Parsing) 을 이야기하며, 컴파일이 미리 되어있는 녀석이기에 Statement 에 비해 성능상 이점

 

 

문법


SELECT count(*) FROM 
ExUSER_TB
WHERE USER_ID = #{id} AND USER_PW = #{pw}
SELECT count(*) FROM ExUSER_TB 
WHERE 
USER_ID = ? AND USER_PW = ?

 

${}

 

사용 과정


1.${} 사용시 Statement 생성

2.Statement 매개변수 그대로 전달

그 대 로

3.전달 하기 떄문에 문자열에 따옴표가 붙지 않는다.

예) select * from Extable where Statementparameter = 홍길동

4.테이블 컬럼 타입이 varchar여도 숫자 그대로 들어가기 떄문에

예) select * from Extable where Statementparameter(varchar 타입) = 1

 

사용 이유


다른 이유도 있겠지만 가장 이유는 이거인거 같다.

바로 ORDER BY 함수를 사용할 오히려 자동 따옴표가 붙으면

함수가 안먹기 때문에 ${} 써야한다.

 

 

문법


SELECT count(*) FROM 
ExUSER_TB 
WHERE USER_ID = "${id}" AND USER_PW = "${pw}"
ORDER BY $ {columnName}

굳이

굳이!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 

 

단점


SQL Injection 같은 문제에 취약하다. 왜냐하면 문자열을 직접 삽입하기 때문이다.

 

 

*SQL Injection : 나쁜놈들이 DB 옆구리 찌르는 기술.

 

 

정리

1.#{} 자동으로 값에 따옴표가 붙고 성능 좋음

2.${} 그대로 전달 따옴표 안붙음 성능 좋지 않음 보안 취약

3.ORDER BY 아니면 #{} 쓰기.

 

반응형

+ Recent posts