함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

QA

함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

본문

아래 함수는 개발자가 하드코딩용으로 만든 함수입니다.
즉 유져가 입력하는 값에 의해 사용되지는 않습니다.

그럼에도불구하고 아래 함수처럼 인자($query)로 query 조건값을 넣는것이 보안상 위험한가요?

 

function chk_write_num($member,$board,$query=''){

    global $g5;

    $board_table_name = $board;
    $g5_table = $g5['write_prefix'].$board_table_name;
    $sql = "select count(mb_id) as cnt from {$g5_table} where mb_id = '{$member['mb_id']}'";

    if($query!=''){
        $sql .= " and $query";
    }

    $result = sql_fetch($sql);
    $board_write_num = $result['cnt'];

    return $board_write_num;
}

이 질문에 댓글 쓰기 :

답변 2

함수호출은 내부적으로 이루어지는 것이기 때문에

그리 문제될건 없어 보입니다.

물론 전달되는 인자의 적절성은 따져봐야겠죠.

답변을 작성하시기 전에 로그인 해주세요.
전체 123,187
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT