개인적인 정리

sql injection 정리 본문

PHP

sql injection 정리

yeon.Biju 2017. 3. 21. 11:26

sql injection 정리

1. form이나 변수로 넘어오는 값을 디비에 날리고자 할경우 변수를 bind 처리한다.

2. 아래 sql_filter 함수를 사용한다.


3. 값을 불러올 때는 sql_filter 의 영향으로 stripslashes를 써줘야 한다.


function sql_filter($str) {

if (!get_magic_quotes_gpc()) $str = addslashes($str);


$search = array("--","#",";");

$replace = array("\--","\#","\;");

$str = str_replace($search, $replace, $str);


return $str;

}


그리고 쿼리 상에서는 가급적 bind 처리한다.


아이디/비밀번호 같은 경우 값을 비교할 경우에는 디비에서 값을 가져와서 넘어온 경우와 비교한다.



이것만 하면 sql injection 처리는 할 필요 없을 것 같은데..




그리고 데이터를 불러올 경우에는 

stripslashes ($str) 형태가 되어야 한다.

'PHP' 카테고리의 다른 글

php 현재 시간  (0) 2019.11.29
404 페이지 강제로 발생시키기  (0) 2017.07.17
국가별 접근 설정, 아이피, ip  (0) 2017.03.21
file_get_contents 대체  (0) 2017.03.21
파일 업로드시 확장자 체크  (0) 2017.03.21
xss filter  (0) 2017.03.21
[워드프레스] 워드프레스 최초 설치할 때  (0) 2017.03.21
php를 이용한 바코드 생성  (0) 2017.03.21
Comments