Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
Tags
- RADIO
- 날짜
- jquery
- 한글
- MYSQL
- 이클립스
- 전자정부 표준프레임워크
- spring form tag
- switch
- @RequestBody
- json
- DB
- 문자열
- php
- null
- 호환성
- Oracle
- java
- SSL
- 웹 플랫폼 설치 관리자
- exception
- 스크립트
- 톰캣
- html
- 오라클
- maven
- HTML5
- checbox
- 네이버스마트 에디터
- JSTL
Archives
- Today
- Total
개인적인 정리
sql injection 정리 본문
sql injection 정리
1. form이나 변수로 넘어오는 값을 디비에 날리고자 할경우 변수를 bind 처리한다.
2. 아래 sql_filter 함수를 사용한다.
3. 값을 불러올 때는 sql_filter 의 영향으로 stripslashes를 써줘야 한다.
function sql_filter($str) {
if (!get_magic_quotes_gpc()) $str = addslashes($str);
$search = array("--","#",";");
$replace = array("\--","\#","\;");
$str = str_replace($search, $replace, $str);
return $str;
}
그리고 쿼리 상에서는 가급적 bind 처리한다.
아이디/비밀번호 같은 경우 값을 비교할 경우에는 디비에서 값을 가져와서 넘어온 경우와 비교한다.
이것만 하면 sql injection 처리는 할 필요 없을 것 같은데..
그리고 데이터를 불러올 경우에는
stripslashes ($str) 형태가 되어야 한다.
'PHP' 카테고리의 다른 글
php 현재 시간 (0) | 2019.11.29 |
---|---|
404 페이지 강제로 발생시키기 (0) | 2017.07.17 |
국가별 접근 설정, 아이피, ip (0) | 2017.03.21 |
file_get_contents 대체 (0) | 2017.03.21 |
파일 업로드시 확장자 체크 (0) | 2017.03.21 |
xss filter (0) | 2017.03.21 |
[워드프레스] 워드프레스 최초 설치할 때 (0) | 2017.03.21 |
php를 이용한 바코드 생성 (0) | 2017.03.21 |
Comments