SQL LIKE Query 의 보안 문제 회피하기 - TBD

[lepffm]

intro

• SQL 에서 LIKE 절 사용시 문제점, 회피 방법

문제상황

• 특정 문자가 포함된 경우를 검색한다. 특정 문자에는 % ,_ , \ , -- 둥 특수문자가 포함될 수 있다.

• SQL 예시 (LIKE)

  SELECT *
  FROM BIZ_TABLE
  WHERE TITLE LIKE concat('%' , 'variable' , '%' )

• 문제가 되는 입력

  %
  issue%
  issue_
  %issue

문제가 되는 이유

• % _ 는 SQL 에서 wildcard 문자로 인식됨
• cf) Oracle 의 경우 ^ - {} [] 추가
• SQL Wildcard

회피하기

1. LIKE 대신 position 함수 사용

   • 예시

     SELECT * FROM BIZ_TABLE
     WHERE position ( 'hell' in BIZ ) > 0

   • 장점 : 변환작업 불필요. SQL 만으로 처리가능
   • 단점 : SQL 가독성이 떨어짐 (LIKE 문이라고 생각이 안됨) , 대소문자를 무시할 수 없음

2. 입력값 escaping 처리

   • 인자가 될 변수의 값을 escape 값으로 변환 \% , \_ , \\
   • 예시 SQL

     LIKE concat('%', regexp_replace( #{variable}, '([%_])', '\\\1','g'), '%')
     or
     LIKE concat('%', variable, '% escape '\') -- 이 떄도  variable 변수에 대한 escaping 은 필요함 

     java

     variable.replaceAll("([%_])","\\\\$1")

   • 장점 : 가장 일반적인 해결책, LIKE 절을 유지할 수 있다.
   • 단점 : 입력값을 SQL 또는 호출하는 측에서 명시적으로 변환 처리해주어야 한다.

reference

• SQL LIKE Operator
• SQL wildcard operators and how to escape them
• %, _ 가 포함된 문자열의 like 연산
• LIKE Queries in Spring JPA Repositories
• https://stackoverflow.com/questions/42600256/mybatis-preventing-agains-sql-injection-in-like-query