📌 SQL Injection 취약점 개선 외 조치 정리 (보안 개선 사례)

1. SQL Injection 취약점 개선

🔴 문제

MyBatis에서 ${} 사용으로 사용자 입력이 SQL에 직접 삽입됨

AND B.MBER_NM LIKE '%${searchKeyword}%'
AND B.HNF_NO_TMP IN (${hnfNoTmp})

🟢 개선

#{} 바인딩으로 PreparedStatement 적용
IN 절은 <foreach>로 안전하게 처리

AND B.MBER_NM LIKE CONCAT('%', #{searchKeyword}, '%')
AND B.HNF_NO_TMP IN
<foreach collection="hnfNoTmpList" item="item" open="(" separator="," close=")">
	#{item}
</foreach>

💡 핵심 포인트

${} → 문자열 치환 (취약)
#{} → 바인드 변수 (안전)

2. LIKE / REGEXP 검색 시 보안 처리

🔴 문제

와일드카드 및 정규식 사용 시 사용자 입력이 그대로 반영됨

LIKE '%${bizNm}%'
REGEXP '${value}'

🟢 개선

#{} 바인딩 적용
%, _ escape 처리 및 ESCAPE 사용
필요 시 Pattern.quote()로 정규식 무력화

AND B.BIZ_NM LIKE CONCAT('%', REPLACE(REPLACE(#{bizNm}, '%', '\\%'), '_', '\\_'), '%') ESCAPE '\'
AND A.MBER_LEVEL REGEXP #{safeValue}

💡 핵심 포인트

LIKE → wildcard escape 필요
REGEXP → 입력값 검증 또는 literal 처리 필수

3. 동적 컬럼 사용 시 SQL Injection 방지

🔴 문제

WHERE ${vrfcColumnNm} = #{vrfcUniqueNo}

컬럼명을 ${}로 직접 치환 → 인젝션 가능

🟢 개선

서버에서 화이트리스트 검증
또는 <choose>로 분기 처리

<choose>
    <when test="column == 'ID'">
    	WHERE ID = #{vrfcUniqueNo}
    </when>
</choose>

💡 핵심 포인트

컬럼명/테이블명은 바인딩 불가 → 반드시 검증 필요

4. XSS (Cross-Site Scripting) 방지

🔴 문제

${item.entrpsNm}
innerHTML = data;

🟢 개선

JSP: fn:escapeXml() 적용
JS: innerHTML 대신 textContent
필요 시 DOMPurify 적용

<c:out value="${fn:escapeXml(item.entrpsNm)}"/>
element.textContent = value;

💡 핵심 포인트

HTML 출력 시 escape 필수
innerHTML 사용 시 sanitizing 필요

5. 예외 처리 및 로그 민감정보 제거

🔴 문제

e.printStackTrace();
LOGGER.error("ERROR", e.getMessage());

콘솔 출력 및 메시지에 민감정보 포함 가능

🟢 개선

LOGGER.error("Exception occurred", e);

또는

LOGGER.debug("IGNORED exception occurred");

💡 핵심 포인트

printStackTrace() 금지
e.getMessage() 직접 출력 지양
로그에는 사용자 입력 포함 금지

📌 기술 요약

MyBatis 기반 서비스에서 ${} 사용으로 발생 가능한 SQL Injection 취약점을 #{} 바인딩 및 <foreach> 구조로 개선
LIKE/REGEXP 검색 시 wildcard 및 정규식 입력값을 escape 및 검증 처리하여 보안 강화
JSP/JavaScript 영역에서 XSS 취약점 제거 (escapeXml, textContent 적용)
예외 처리 로깅 구조 개선을 통해 민감정보 노출 방지 및 운영 로그 보안성 향상

'일 > JAVA' 카테고리의 다른 글

JSP EL vs <c:out> 차이 및 XSS 대응 정리 (0)	2026.03.02
JSP/JSTL에서 파일명 확장자 제거 처리 (0)	2026.03.02
JSP에서 특정 URL 포함 여부에 따른 조건 분기 처리 (0)	2026.03.02
JSP 분리 구조에서 선택된 카테고리를 <title>에 동적으로 반영하기 (0)	2026.03.02
java16.stream.aggregate (0)	2023.05.30

DASHBOARD

SQL Injection 취약점 개선

📌 SQL Injection 취약점 개선 외 조치 정리 (보안 개선 사례)

1. SQL Injection 취약점 개선

🔴 문제

🟢 개선

💡 핵심 포인트

2. LIKE / REGEXP 검색 시 보안 처리

🔴 문제

🟢 개선

💡 핵심 포인트

3. 동적 컬럼 사용 시 SQL Injection 방지

🔴 문제

🟢 개선

💡 핵심 포인트

4. XSS (Cross-Site Scripting) 방지

🔴 문제

🟢 개선

💡 핵심 포인트

5. 예외 처리 및 로그 민감정보 제거

🔴 문제

🟢 개선

💡 핵심 포인트

📌 기술 요약

'일 > JAVA' 카테고리의 다른 글

티스토리툴바

SQL Injection 취약점 개선

📌 SQL Injection 취약점 개선 외 조치 정리 (보안 개선 사례)

1. SQL Injection 취약점 개선

🔴 문제

🟢 개선

💡 핵심 포인트

2. LIKE / REGEXP 검색 시 보안 처리

🔴 문제

🟢 개선

💡 핵심 포인트

3. 동적 컬럼 사용 시 SQL Injection 방지

🔴 문제

🟢 개선

💡 핵심 포인트

4. XSS (Cross-Site Scripting) 방지

🔴 문제

🟢 개선

💡 핵심 포인트

5. 예외 처리 및 로그 민감정보 제거

🔴 문제

🟢 개선

💡 핵심 포인트

📌 기술 요약

'일 > JAVA' 카테고리의 다른 글

'일/JAVA' Related Articles

티스토리툴바