mysqli 사용샘플 - 게시판정보 가져오기

불당   
   조회 7921   추천 0     비추천 0    

common.php의 $board 정보 가져오는 부분 입니다.

 

(기존방식)

 

    $bo_table = preg_match("/^[a-zA-Z0-9_]+$/", $bo_table) ? $bo_table : "";

    $board = sql_fetch(" select * from {$g4['board_table']} where bo_table = '$bo_table' ");

 

$bo_table에서 숫자 문자를 남기고 특수문자를 없애고는 있지만, 숫자만으로 해킹가능한 방법이 있으니...

헛점이 있는 상황 입니다.

 

 

(mysqli)

 

    $bo_table = preg_match("/^[a-zA-Z0-9_]+$/", $bo_table) ? $bo_table : "";

 

    $stmt = mysqli_prepare($mysqli_db, " select * from {$g4['board_table']} where bo_table = ? ");
    mysqli_stmt_bind_param($stmt, "s", $bo_table);
    mysqli_stmt_execute($stmt);
    $result = mysqli_stmt_get_result($stmt);
    $board = mysqli_fetch_array($result, MYSQLI_ASSOC);

 

prepared sql을 사용해서, SQL injection을 완벽하게 방어 합니다.

$bo_table에 뭘 넣던지, SQL 문장이 확장되지 않기 때문 입니다.

- opencode.co.kr -


제목Page 2/28
2015-10   7129   불당
2015-10   7040   불당
2015-10   6824   불당
2015-10   6683   불당
2015-10   89226   불당
2015-10   7307   불당
2015-10   6899   불당
2015-10   7462   불당
2015-09   7117   불당
2015-09   8715   불당
2015-09   8303   불당
2015-09   7922   불당
2015-09   87505   불당
2015-09   85535   불당
2015-09   88821   불당
2014-06   139310   불당
2014-04   12025   불당
2014-04   11315   불당
2014-04   11640   불당
2014-03   16495   불당