그누보드 QA - 함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

제이프로 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2019.04.19 21:04:23 조회 1540 (221.♡.♡.34)

본문

아래 함수는 개발자가 하드코딩용으로 만든 함수입니다.
즉 유져가 입력하는 값에 의해 사용되지는 않습니다.

그럼에도불구하고 아래 함수처럼 인자($query)로 query 조건값을 넣는것이 보안상 위험한가요?

function chk_write_num($member,$board,$query=''){

global $g5;

   $board_table_name = $board;
   $g5_table = $g5['write_prefix'].$board_table_name;
   $sql = "select count(mb_id) as cnt from {$g5_table} where mb_id = '{$member['mb_id']}'";

   if($query!=''){
       $sql .= " and $query";
   }

$result = sql_fetch($sql);
$board_write_num = $result['cnt'];

return $board_write_num;
}

#보안 #함수 #인자

답변 2

평정심 홈페이지 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2019-04-20 08:33:43 125.♡.♡.163

함수호출은 내부적으로 이루어지는 것이기 때문에

그리 문제될건 없어 보입니다.

물론 전달되는 인자의 적절성은 따져봐야겠죠.

razogol 홈페이지 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2019-04-19 22:39:04 125.♡.♡.208

필터링은 한번 하고 넣어 주시면 될것 같습니다.

답변을 작성하시기 전에 로그인 해주세요.

전체 0

질문등록

filter #css × #mysql × #DB ×

질문등록

로그인

함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

QA

함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?

본문

이 질문에 댓글 쓰기 :

답변 2

평정심 홈페이지 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

razogol 홈페이지 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

회원로그인