Mybatis #{} vs ${}

Spring에선 JDBC를 사용하여 DB와 연동하는 것으로 MyBatis라는 라이브러리를 사용하게 된다.

우선 Mybatis에서 resultType, parameterType으로 사용할 수 있는 type 명부터 알아보자.

이때 VO나 DTO를 매개변수로 하여금 데이터의 이동을 하게 하는데, 그 기능으로 $와 #문법이 있다.

즉, VO에 name이라는 변수가 있고 getter가 getName()이라는 메소드로 되어 있을때, #{name}을 하거나 ${name}을 하게되면 VO에있는 name값이 MyBatis의 XML에 파싱될때 getName한 값이 오게 된다.

#{ }

• Parameter가 String 형태로 들어와 자동적으로 ‘Parameter’ 형태가 된다.
• 예를들어, VO에 담긴 myid값이 getter로 반환될 때, myid값이 123이라면 mybatis 쿼리에는 userid=’123’의 형태가 된다.
• SQL Injection을 예방할 수 있어 보안측면에서 유리하다.

${ }

• Parameter가 바로 출력된다.

• 예를 들어, VO에 담긴 myid값이 getter로 반환될 때, myid값이 123이라면 mybatis 쿼리에는 userid=123의 형태가 된다.

• SQL Injection을 예방할 수 없어 보안측면에서 불리하다.

SQL injection

SQL인젝션은 응용 프로그램 보안 상의 허점을 의도적으로 이용해, 악의적인 SQL문을 실행되게 함으로써 데이터베이스를 비정상적으로 조작하는 코드 인젝션 공격방법이다. ${}문법을 사용하면 주로 발생할 수 있는 가장 큰 허점이었으며 이를 막기위해 대부분 #{} 문법을 사용함으로써 대처한다.

SQL Injection Example

사용자가 ID와 PASSWORD를 입력하는 상황일 경우 Mabatis에 다음과 같이 쿼리가 있다고 할때,

select * from UserInfo where id = '${id}' and password = '${password }'

악의적인 유저가 비밀번호를 [password’ OR 1=1 limit 1–] 라고 입력하게 되는 경우 아래와 같이 쿼리문이 생성될 것이다.

select * from tblUserInfo where id = 'admin' and password = 'password' OR 1=1 limit 1-- '

만약, 패스워드 데이터가 암호화가 되어있지 않다면, 큰 문제로 이어지게 된다.

싱글쿼테이션(‘)으로 감싸도 끝에 있는 싱글쿼테이션 1개가 – 주석처리되고 1=1이라는 조건이 absolutely true로 만들기 때문에 홈페이지에 작성된 쿼리에 따라 sql Injection으로 충분히 해킹이 가능할 수 있다.

따라서 되도록 #{}을 사용하도록 하자.