Hello backEnd

서비스를 실제로 운영할 때에 공격이 들어올 수 있고, 이를 막기 위해 노력해야 한다. 디프만에서 우리는 모든 DB통신을 JPA와 querydsl을 통해 진행했기 때문에 SQL injection은 막을 수 있었다. 그러나 XSS의 경우는 추가적인 방어가 필요했다. 이를 위해 lucy filter를 도입하였고, 우리 프로젝트에 맞춰 추가적인 기능을 부여하며 여러 테스트를 해 보았다. lucy필터의 장점 https://github.com/naver/lucy-xss-filter 네이버에서 만든 XSS 방어용 필터이다. 이를 사용하면 XML설정만으로 XSS방어가 가능해진다. 비지니스 레이어의 코드 수정이 필요하지 않다. 직접 설정할 필요가 없으므로 코드를 잘못 입력하거나, 놓치고 적용하지 않는 경우가 없다. lu..

디프만 프로젝트에서 댓글 관련 API중 하나를 담당했는데, 해당 내용은 어떤 맥주를 통해 이곳에 작성된 모든 기록들을 받아오고, 동시에 저장된 맛(최대 3개)를 가져와 보여준다. 그리고 여기 페이징을 적용한다. 였다. 즉 이 경우 기록 -> 맛을 가져올 때 일대다 조인이 생기게 된다. 맥주를 통해 기록을 가져옴(여기서 N개의 기록을 가져옴) 해당 기록에 있는 맛태그를 가져옴(최대 3개의 맛태그) 맛태그를 통해 맛을 가져옴(다대일) 2, 3번의 로직을 수행할 때에 문제가 여러개 생기게 된다. 먼저 일대다 조인의 경우 페치 조인만으로 페이징을 할 수 없다. 알다시피 일대다 조인을 페치조인하면 동일한 데이터가 여러 번 출력되어 데이터가 뻥튀기된다!! 그리고 비효율적인 쿼리가 생성되게 된다. 하나의 기록마다 맛..

실무에서 매우 중요하다. SQL의 조인 종류에 해당하지는 않는다. JPQL에서 성능 최적화를 위해 제공하는 기능이다. 연관된 엔티티나 컬렉션을 SQL한 번에 조회하는 기능. join fetch 명령어 사용 예를 들어 회원을 조회하면서 연관된 팀을 함께 조회하려 한다(SQL한번에) select m from Member m join fetch m.team -> SELECT M., T. FROM MEMBER M INNER JOIN TEAM T ON M.TEAM_ID=T.ID 아래와 같이 inner join을 사용하여 Team이 있는 member들을 가져온다고 가정한다면 JpaMain public class JpaMain { public static void main(String[] args){ EntityMa..

JPA에서는 여러 엔티티가 서로 연관되어 있을 때에, 하나의 엔티티에서 다른 엔티티를 두가지 방법으로 찾는데, 간단히 말하면 해당 엔티티를 검색할때 바로 찾거나(Eager) 혹은 해당 엔티티를 사용할 때 찾거나(Lazy) 로 나뉜다. 이 내용들에 관해서 알아보도록 한다. LAZY전략 FetchType.LAZY 지연 전략이라고도 한다. fetchType을 LAZY로 설정하면, 이 지연로딩의 대상이 된 쪽은 프록시 객체로 가져오게 된다. 그리고 이후에 해당 대상을 실제로 사용하려 할 때에 초기화가 진행된다. XToMany의 기본 속성이 LAZY로 되어 있다. Eager전략 FetchType.EAGER 즉시 전략이라고도 한다. fetchType을 EAGER로 설정하면, 로딩할 때에 모든 값을 join하여 가져..

프록시 JPA에서는 검색할 때에 em.find()말고도 em.getReference()라는 메소드를 제공한다. 이 em.getReference()는 데이터베이스 조회를 미루는 가짜(프록시) 엔티티 객체를 조회한다. -> 즉 DB에 쿼리가 나가지 않은 상태로 객체를 조회한다. 코드를 통해 확인해 보자면 Member클래스에서 필요없는거 없애기 @Entity public class Member extends BaseEntity { @Id @GeneratedValue @Column(name = "MEMBER_ID") private Long id; @Column(name = "USERNAME") private String username; public Long getId() { return id; } public..

Git - Github decktop을 통해 협업하기!! 디프만을 통해 최근 프로젝트를 진행하고 있고, 혼자서 공부하던 것에 비해 적용해야 할 것이 많았다. 동아리를 통해 여러 방법을 통해 다른 사람들과 협업하는 것에 배울 수 있었는데, 이 내용에는 Notion, Slack, Kanban등 많은 것들이 있지만 이번에는 Git에 관한 것을 중점적으로 다루려 한다. 공통 개발 저장소 만들고 함께 사용하기 나는 백엔드 팀의 일원이고 동일한 백엔드 직무의 사람들과 함께 개발을 진행해야 한다. 그렇기 때문에 여러 백엔드 팀원이 하나의 프로젝트를 관리하기 위해 공통 개발 저장소를 사용해야 한다. 먼저 함께할 repository를 만든다. 참고로 동아리에서는 이미 동아리 명의로 되어있는 Organizations이 있..

XSS와 sql injection에 관하여 SQL Injection이란?? 먼저 SQL Injection이란, 이름 그대로 보안상의 취약점을 이용하여 임의의 SQL문을 주입하여 DB에서 이 SQL이 실행되도록 하는 공격이다. 이 SQL Injection은 OWASP Top10중 첫번째에 해당한다. 공격 방법이 간단하고, 이게 성공할 경우 큰 피해를 받게 되는 공격이다. 어떤 공격인지 예를 들어보자면 공격 방법 예를 들어 user_id user_pass RyooChan 1q2w3e! Michael Jordan bulls23 Magic Johnson Lakers32 위와 같은 유저 정보를 가진 테이블이 있다고 할 때 SELECT user FROM user_table where user_id = '[1..

URL 단축기 설계 1단계 문제 이해 및 설계 범위 확정 질문 결과 기본적 기능이 아래와 같다고 한다. URL단축 : 주어진 긴 URL을 훨씬 짧게 줄인다. URL리디렉션 : 축약된 URL로 HTTP 요청이 오면 원래 URL로 안내 높은 가용성과 규모 확장성, 그리고 장애 감내가 요구됨 개략적 추정 쓰기 연산 : 매일 1억 개의 단축 URL생성 초당 쓰기 연산 : 1억/24/3600=1160 읽기 연산 : 읽기 연산과 쓰기 연산 비율은 10:1이라고 하자. 그 경우 읽기 연산은 초당 11600회 발생한다. URL단축 서비스를 10년간 운영한다고 가정하면 1억X365X10=3650억 개의 레코드를 보관해야 한다. 축약 전 URL의 평균 길이는 100이라고 하자 따라서 10년동안 필요한 저장 용량은 3650..

분산 시스템을 위한 유일 ID 생성기 설계 분산 시스템에서 사용될 유일 ID생성기를 설계할 때 'auto_increment 속성이 설정된 관계형 DB의 PK를 쓰면 되지 않을까?' 할 수도 있는데... 분산 환경에서 이 접근법은 통하지 않는다. DB서버 한 대로는 그 요구를 감당할 수 없을뿐 아니라 여러 DB서버를 쓰는 경우에는 지연시간을 낮추기가 무척 힘들 것이기 때문이다. -> Auto increment는 따로 동기화가 되어있지 않으면 각각의 분산 환경에서 동일한 ID가 나타날 수 있다. -> Auto increment 추가적인 단점은 외부에서 해당 시스템의 id를 예측하기 쉽다는 것이다...이는 트래픽의 파악과 SQL Injection에 취약해지기 쉽다는 단점을 낳는다. 1단계 문제 ..

Spring Data JPA를 통한 CRUD방법에 관하여..(feat 변경감지) Spring Data JPA를 사용한 CRUD방법을 구현하면 어떻게 하나? 조회(Read) find나 get을 사용한다. 이 둘의 차이는 여기서 알아보자 저장(Create) save를 사용한다. 이 save에 관해 조금 후에 다시 서술한다. 삭제(Delete) delete를 사용하거나, 실제로 데이터를 삭제하고 싶지 않으면 soft delete를 하면 된다. 이제 변경(Update)를 한다면? Update방식 위에서 데이터 저장에 사용된 save에 대해 먼저 알아보자 얘 코드를 살펴보면 /* * (non-Javadoc) * @see org.springframework.data.repository.CrudRepository#s..