prepared query2 mysqli 활용한 SQL Injection 예방 SQL Injection 예방을 위한 DB 쿼리 방식을 mysqli 를 활용하여 Executes a prepared Query 방식을 통해 안전한 DB 쿼리를 할 수 있다. 이에 대한 예제를 참고로 기존 코드 및 차후 코드를 변경하는 것이 보안성 및 편리성을 추구할 수 있다. 아래에서 동일한 기능을 하는 간단한 예제 두가지 방식을 제시한다. Example #1 Object oriented style Example #2 Procedural style 위 예제의 출력: Stuttgart (DEU,Baden-Wuerttemberg) Bordeaux (FRA,Aquitaine) 예제 출처 : http://kr.php.net/ 2009. 9. 21. PHP 입력값 SQL 인젝션 예방 magic_quote_gpc Sets the magic_quotes state for GPC (Get/Post/Cookie) operations. When magic_quotes are on, all ' (single-quote), " (double quote), \ (backslash) and NUL's are escaped with a backslash automatically. 이것은 자동으로 addslashes() 를 하는 옵션입니다. 하지만 sql 문법에 완전히 맞지 않습니다. 물론 \ 로 escape 하는 문법을 지원해 주긴 합니다만, 원래의 문법은 아닙니다. 게다가 ; 는 escape 시키지 않으니 사소한 실수로 큰 보안구멍이 발생할 수 있습니다. *_escape_string() 각 sql .. 2009. 9. 17. 이전 1 다음 728x90