• 카테고리

    질문 & 답변

  • 세부 분야

    보안

  • 해결 여부

    미해결

테이블/컬럼명 Prepared Statement사용 불가능 관련 질문입니다.

22.04.02 01:51 작성 조회수 248

1

테이블/컬럼명을 다음과 같이 하여 Prepared Statement사용을 할 수 있지 않나요?

String tb_name='board';

String query = "select title from ? where content like '%?%'";

pstmt=conn.preparedStatement(query);

위 세 줄의 코드를 실행한 후

pstmt.setString이용하여 두 개의 placeholder에 대하여 바인딩을 하는 방법은 사용 불가능할까요?

course-thumbnail

모의해킹 실무자가 알려주는, SQL Injection 공격 기법과 시큐어 코딩 : PART 1

상세 대응 방안(1)

강의실 바로가기

답변 1

답변을 작성해보세요.

0

크리핵티브님의 프로필

크리핵티브

지식공유자

2022.04.03

안녕하세요.

영상 내에서도 설명이 있겠지만,

컬럼과 테이블 키워드 관련은 placeholder 사용을 통한 바인딩이 되지 않습니다.

prepared 원리 설명을 참고하시면 이해가 되실겁니다.

이 글과 비슷한 Q&A