php 파일에 mysql 쿼리 바로 입력하면..
본문
php 파일에 mysql 쿼리 바로 입력하면 보안상 허점이 생기나요?
그누보드 소스를 보면
$sql = "SELECT '{$col['name']}'
FORM '{$table['name']}'
WHERE g5_member = '{$member['name']}"
이런식으로 변수를 불러와서 쿼리가 완성되도록 되어 있던데,
이게 보안을 위해서인지, 아니면 다른 목적인지 궁금합니다.
답변 3
바로 입력해도 됩니다만 g5_member 테이블명이 변경되거나 하면 일일이 다 찾아가면서 수정해줘야 하는 문제점이 있어요
그누보드는 테이블id를 파라미터로 하나의 공통 쿼리에 변수할당 방식으로 공통으로 불러오게 됩니다.
보안상 이유보단 편리하게 하기 위해 그런 것입니다.
안그러면 테이블마다 sql 작성하기엔 힘들죠.
직접 값을 대입시키는 것은 프로그램을 배울 때나 가능하겠지요.
사용자의 입력을 받아 MySQL에 넣어야 한다면 당연히 변수로 받아서 입력해줄 수 밖에 없을 것 같은데... 다른 방법이 있나요?
사용자의 입력을 받아 MySQL에 넣어야 한다면 당연히 변수로 받아서 입력해줄 수 밖에 없을 것 같은데... 다른 방법이 있나요?
답변을 작성하시기 전에 로그인 해주세요.
