DAY-29. Jdbc PreparedStatment 사용, Date타입

🔐 2022-04-12

데이터베이스 - JDBC

❗ 수업을 듣고, 개인이 공부한 내용을 적은 것 이기에 오류가 많을 수도 있음

2022-04-12

1️⃣ Statement 활용시 문제점

🧨 SQLInjection 위험 발생

public class SQLInjection {

	public static void main(String[] args) {
		select("abc123","5555' or '1' = '1'"); // 오류가 나야하는데 abc123 : 1234가 출력
	}

	public static void select(String id, String pw) {
		String url = "jdbc:oracle:thin:@localhost:1521:xe";
		String username = "kh";
		String password = "kh";

		try(Connection con = DriverManager.getConnection(url,username,password);
			Statement stmt = con.createStatement()){
			// statement를 사용하면 SQLInjection 공격이 가능해진다

			String sql = "select * from tbl_member where id = '" + id +"' and pw = '" + pw +"'";
			ResultSet rs = stmt.executeQuery(sql);

			if(rs.next())
				System.out.println(rs.getString(1));
				System.out.println(rs.getString(2));
		}catch(Exception e) {
			e.printStackTrace();
		}
	}

}

💡 SQLInjection 방지를 위해 PreparedStatement를 활용

// PreparedStatement -> 객체를 생성할 때 인자값으로 넘겨주는 sql문(쿼리문)을 미리 DBMS에 컴파일에 올려둠
// 추후에 ? 자리에 set되는 값을 말그대로 값 그 자체로 들어감 (문자열 인식) -> or연산자가 안먹힘
public static void select2(String id, String pw) {
	String url = "jdbc:oracle:thin:@localhost:1521:xe";
	String username = "kh";
	String password = "kh";

	String sql = "select * from tbl_memeber where id =? and pw =?";

	try(Connection con = DriverManager.getConnection(url,username,pw);
		PreparedStatement pstmt = con.prepareStatement(sql);){

		pstmt.setString(1, id);
		pstmt.setString(2, pw);

		ResultSet rs = pstmt.executeQuery();

		if(rs.next())
				System.out.println(rs.getString(1) + " : " + rs.getString(2));
		}catch(Exception e) {
		e.printStackTrace();
	}
}

---

2️⃣ Statement vs PreparedStatement 비교

1. cafe.DAO(Statement) - insert

public int insert(CafeDTO dto) throws Exception {

	try(Connection con = DriverManager.getConnection(url,username,password);
		Statement stmt = con.createStatement()) {

		String sql = "insert into cafe values(seq_cafe.nextval,'" + dto.getProduct_name() + "'," + dto.getPrice() +",sysdate)";
		int rs = stmt.executeUpdate(sql);
		return rs;
	}
}

2. cafe.DAO(PreparedStatement) - insert

// 예외 전달하기
public int insert(CafeDTO dto) throws Exception {

// 쿼리문안에 삽입할 문자들을 ?로 해두고 나중에 setString을 이용해 설정
String sql = "insert into cafe values (seq_cafe.nextval,?,?, sysdate)";

try(Connection con = DriverManager.getConnection(url,username,password);
	PreparedStatement pstmt = con.prepareStatement(sql);) {

 // ?에 해당하는 인자값 세팅 -> 컬럼의 자료형에 따라 세팅
	pstmt.setString(1, dto.getProduct_name()); // 쿼리문의 첫 번째 ?의 인자값 -> 1 -> 컬럼의 인덱스가 아님
	pstmt.setInt(2, dto.getPrice()); // 쿼리문의 두 번째 ?의 인자값 -> 2 -> 컬럼의 인덱스가 아님

	// 쿼리문을 실행
	int rs = pstmt.executeUpdate(); // 인자값을 sql로 넘겨주지 않는다
	return rs;
	}
}

📖 정리

Statement

1. try() 문안에서 createStatement() 활용시 인자값을 넣어주지 않는다
2. try문 안에서 sql문을 만들어준다
3. 쿼리문 실행을 위해 executeUpdate() / executeQuery()에 sql문을 넣어준다 → executeUpdate(sql) / executeQuery(sql)

PreparedStatement

1. PreparedStatement는 먼저 try문 위에 sql 쿼리문에 입력할 값으로 ? 를 해준다
2. try() 문안에서 con.preparedStatement() 사용시 위에서 작성한 sql문을 넣어줘야 한다→ con.prepareStatement(sql);
3. try문 안에서 pstmt로 값을 set해준다 이때 ?의 인덱스를 이용한다 → ex) pstmt.setString(1, dto.getProduct_name();
4. Statement와 마찬가지로 쿼리문을 실행하기 위해 executeUpdate() / executeQuery()를 하지만, 인자값으로 sql을 넣어주지 않는다
5. set을 해주려면 컬럼의 자료형을 알아야한다

🔔 결론

보안과 편의를 위해서 PreparedStatement를 사용하는게 낫다!

3️⃣ Date 활용

💡 오라클의 Date 타입을 내가 원하는 방식으로 출력하려면?

1) MemberDAO에 함수를 만들어 사용

MemberDTO

import java.sql.Date;
public class MemberDTO {

	private String id;
	private String pw;
	private String birth_date; // 기존의 테이블에서는 Date이지만 String으로 변환

	public MemberDTO() {}d
	public MemberDTO(String id, String pw, String birth_date) {
		this.id = id;
		this.pw = pw;
		this.birth_date = birth_date;
	}

	public String getId() {
		return id;
	}
	public void setId(String id) {
		this.id = id;
	}
	public String getPw() {
		return pw;
	}
	public void setPw(String pw) {
		this.pw = pw;
	}
	public String getBirth_date() {
		return birth_date;
	}
	public void setBirth_date(String birth_date) {
		this.birth_date = birth_date;
	}
}

MemberDAO

public ArrayList<MemberDTO> selectAll() throws Exception {
	String sql = "select * from tbl_member";

		try(Connection con = DriverManager.getConnection(url,username,password);
			PreparedStatement pstmt = con.prepareStatement(sql);) {

			ResultSet rs =  pstmt.executeQuery();
			ArrayList<MemberDTO> list = new ArrayList<>();

			while(rs.next()) {
				String id = rs.getString(1);
				String pw = rs.getString(2);
				// 오라클에서 넘어온 date타입을 자바의 String타입으로 변환한 값을 birth_date에 저장
				String birth_date = toJavaString(rs.getDate(3));
				list.add(new MemberDTO(id, pw, birth_date));
			}
			return list;
		}
	}

	// 오라클에서 넘어온 date타입을 자바의 String타입으로 변경하는 함수
	public String toJavaString(Date date) {
		// oracle date 타입의 데이터를 java의 String으로 변환 -> SimpleDateFormat
		// 생성자의 인자값을 String 으로 변환할때 어떤 형식으로 변환할 것인지 format
		// oracle 월(mm/MM) 분(mi)
		// java 월()

    // yyyy년 MM월 dd일 이런식으로 출력하겠다
		SimpleDateFormat sdf = new SimpleDateFormat("yyyy년 MM월 dd일");
		return sdf.format(date);
	}

1. 반환값이 toJavaString인 함수를 만든다
2. 이때 인자값은 oracle에서 넘어오는 date 타입의 값이다
3. 그 값을 SimpleDateFormat의 format을 이용해 String으로 변환한다
4. String으로 변환한 값을 birth_date에 넣어준다
5. list.add로 birth_date 값을 넣는다

String → Date : parse 사용, Date → String : format 사용

Run

ArrayList<MemberDTO> list= dao.selectAll();
	if(list != null) {
		for(MemberDTO dto2 : list) {
			System.out.println(dto2.getId() + " " + dto2.getPw() + " " + dto2.getBirth_date());
	}
}

출력

2) Date.valueOf(String) 으로 간단하게 해결

• Date birth_date = Date.valueOf(sc.nextLine()); 으로 데이터를 넣을 때 부터 변환을 해줘서 넣는다

4️⃣ 날짜(Date) 활용

String → Date : parse 사용

Date → String : format 사용

CafeDTO

// register_date 맴버필드를 이용해서 현재시간과 등록시간의 차이를 계산해 String값으로 반환해주는 메서드
public String getTimestamp() {
	// System.currentTimeMillis() -> 현재 시간을 long형으로 반환
	// String 데이트 값을 가지고 있는 register_date를 일단 long형으로 반환

	// register_date를 먼저 자바의 Date 타입으로 변환
	SimpleDateFormat sdf = new SimpleDateFormat("yy-MM-dd HH:mm:ss");

	try {
		//1. sdf의 형식처럼 생긴 register_date String 값을 자바의 Date 형으로 변환하는 작업 -> parse
		// ("yy-MM-dd HH:mm:ss")형태로 바꾸기 위해 작업
		java.util.Date date = sdf.parse(this.register_date);

		//2. getTime : 자바의 date 타입 데이터를 long형으로 변환해서 반환해주는 메서드
		long origin_date = date.getTime(); // 등록일을 long 형 변환

		//3. 현재시간
		long cur_date = System.currentTimeMillis();

		// 두 시간간의 갭 -> 초 단위로 계산
		long gap_time = (cur_date - origin_date) / 1000;

		int sec = 60;
		int min = 60;
		int hour = 24;
		int day = 30;
		int month = 12;


		if(gap_time < sec) {
			return gap_time + "초 전";
		}
		else if((gap_time/=sec) < sec) {  // 1시간 미만이라면 ~분전 // 나누면서 나눈어서 나온값을 다시 넣는다
			return gap_time + "분 전";
		}
		else if((gap_time/=sec)< hour) {  // 1일 -> 24시간 // gap_time은 60이상의 값을 가지고 있을 거다
			// 60분 기준으로 분 단위
			// 1일 -> 24시간
			return gap_time + "시 전";
		}
		else if((gap_time/=hour) < day) { // 30일 미만이면 ~일 전
			return gap_time + "일 전";
		}
		else if((gap_time/=day) < month) {
			return gap_time + "개월 전";
		}
	}catch(Exception e) {
		e.printStackTrace();
	}
	return null;
}

1. String인 register_date를 date의 형태로 바꾼다
2. date로 바뀐 register_date를 long형으로 담는다
3. long형으로 반환되는 System.currentTimeMillis()와 regiser_date를 비교해본다

출력

public String toString() {
		return product_id +" : " +product_name + " : " +price + " : " +register_date ;
}