동적 테이블 사용 할 경우 일어날 수 있는 취약점(SQL Injection)에 대해 보완하였습니다.

1. safeTable 메서드 생성하여 입력된 값 검증

   • 입력값을 검증하여 유효하지 않은 값을 데이터베이스 전달되는 것을 막고, 잘못된 데이터가 저장 안되게끔, SQL Injection 공격 시도를 할 수 있는 벡터를 제거함으로써 보안성을 강화하였습니다.

   package com.goalddae.util;
   
   public class MyBatisUtil {
   
       // 입력받은 테이블 이름이 유효한지 검사하는 메소드
       public static Long safeTable(Long input) {
           // userId가 1 이상 1000000 미만인 경우에만 유효
           if (input != null && input > 0 && input < 1000000) {
               return input;
           } else {
               throw new IllegalArgumentException("올바르지 않은 테이블 이름이 입력되었습니다.");
           }
       }
   }
   

2. Prepared Statements

   • SQL Injection 공격에서 주로 활용되는 특수 문자에 의한 문제를 예방할 수 있어 $ 대신 #을 사용하여 SQL 쿼리에 직접 값을 삽입하는 대신 placeholder를 사용하여 값을 바인딩 하는 방식을 사용했습니다.

<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "<http://mybatis.org/dtd/mybatis-3-mapper.dtd>">
<mapper namespace="com.goalddae.repository.FriendAcceptRepository">
    <update id="createFriendAcceptTable" parameterType="java.lang.Long">
        CREATE TABLE friend_accept_#{id} (
                                        id BIGINT AUTO_INCREMENT PRIMARY KEY,
                                        from_user VARCHAR(255) NOT NULL,
                                        accept_date DATETIME NOT NULL,
                                        accept BIGINT NOT NULL,
                                        users_id BIGINT NOT NULL
        );
    </update>
</mapper>