Programming/php2017.04.26 19:36




mysql_real_escape_string — Escapes special characters in a string for use in an SQL statement

[링크 : http://php.net/manual/en/function.mysql-real-escape-string.php]


addslashes() 와 str_replace() 함수를 사용할 수도 있습니다. addslashes() 는 데이터베이스 질의 등에서 처리할 필요가 있는 문자 앞에 백슬래시를 붙인 문자열을 반환합니다.

[링크 : http://blog.habonyphp.com/entry/php-SQL-인젝션-공격]


시스템 자원을 낭비할 수도 있는 Prepared statement를 굳이 소규모 시스템에서도 사용하는 이유는 무엇일까? 그것은 바로 Prepared statement를 사용함으로써 어느 정도의 SQL Injection에 대한 방어 효과가 있기 때문이다. 즉, Prepared statement를 사용하면 프로그램을 개발하는 입장에서 조금 더 손쉽게 웹 프로그램의 안정성을 높일 수 있는 효과가 있다.

[링크 : http://idchowto.com/?p=16398]


[링크 : https://opentutorials.org/module/411/3962]

신고

'Programming > php' 카테고리의 다른 글

sql injection 방어  (0) 2017.04.26
망할 php define()  (0) 2017.04.25
php hidef?  (0) 2017.04.24
php static과 변수 유효범위  (0) 2017.04.15
php 상수 선언 - define  (0) 2017.04.15
php 세션주의사항(?)  (0) 2017.04.13
Posted by 구차니

댓글을 달아 주세요