mysqli 사용샘플 - 게시판정보 가져오기

불당   
   조회 7033   추천 0     비추천 0    

common.php의 $board 정보 가져오는 부분 입니다.

 

(기존방식)

 

    $bo_table = preg_match("/^[a-zA-Z0-9_]+$/", $bo_table) ? $bo_table : "";

    $board = sql_fetch(" select * from {$g4['board_table']} where bo_table = '$bo_table' ");

 

$bo_table에서 숫자 문자를 남기고 특수문자를 없애고는 있지만, 숫자만으로 해킹가능한 방법이 있으니...

헛점이 있는 상황 입니다.

 

 

(mysqli)

 

    $bo_table = preg_match("/^[a-zA-Z0-9_]+$/", $bo_table) ? $bo_table : "";

 

    $stmt = mysqli_prepare($mysqli_db, " select * from {$g4['board_table']} where bo_table = ? ");
    mysqli_stmt_bind_param($stmt, "s", $bo_table);
    mysqli_stmt_execute($stmt);
    $result = mysqli_stmt_get_result($stmt);
    $board = mysqli_fetch_array($result, MYSQLI_ASSOC);

 

prepared sql을 사용해서, SQL injection을 완벽하게 방어 합니다.

$bo_table에 뭘 넣던지, SQL 문장이 확장되지 않기 때문 입니다.

- opencode.co.kr -


제목Page 2/28
2015-10   6348   불당
2015-10   6259   불당
2015-10   6069   불당
2015-10   5869   불당
2015-10   79050   불당
2015-10   6483   불당
2015-10   6128   불당
2015-10   6541   불당
2015-09   6347   불당
2015-09   7721   불당
2015-09   7203   불당
2015-09   7034   불당
2015-09   77081   불당
2015-09   75067   불당
2015-09   78016   불당
2014-06   127593   불당
2014-04   11159   불당
2014-04   10562   불당
2014-04   10890   불당
2014-03   15637   불당