태그 자료실

회원로그인

무료회원가입 보안로그인

아이디/비밀번호찾기

php sql인젝션 공격막기

8년 전

Example#1 mysql_real_escape_string() 예제

<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
?>
Example#2 SQL 인젝션 공격(Injection Attack)의 예

<?php
// Query database to check if there are any matching users
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);

// We didn't check $_POST['password'], it could be anything the user wanted! For example:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";

// This means the query sent to MySQL would be:
echo $query;
?>
MySQL로 전송되는 질의:

SELECT * FROM users WHERE name='aidan' AND password='' OR ''=''


유효한 비밀번호 없이 누구나 접속하여 접근이 가능하다.

Example#3 "Best Practice" 질의

mysql_real_escape_string()은 각 변수에 대해 SQL 인젝션을 방지한다. 이 예제는 Magic Quotes 설정과는 별개로 데이터베이스를 질의하는 "best practice" 방법을 시연한다.

<?php
// Quote variable to make safe
function quote_smart($value)
{
    // Stripslashes
    if (get_magic_quotes_gpc()) {
        $value = stripslashes($value);
    }
    // Quote if not integer
    if (!is_numeric($value)) {
        $value = "'" . mysql_real_escape_string($value) . "'";
    }
    return $value;
}

// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Make a safe query
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
            quote_smart($_POST['username']),
            quote_smart($_POST['password']));

mysql_query($query);
?>
SQL 인젝션 공격이 동작하지 않으며 질의가 정확하게 실행될 것이다

추천 목록

번호	제목
2,879	10진수 <-> 16진수 변환기 PHP소스
2,878	텍스트에 직접 그라데이션 색상을 적용하려면?
2,877	CSS를 사용하여 요소의 내용물에 따라 width를 조정하는 방법
2,876	웹서버 ip 확인
2,875	웹호스팅의 절대경로를 확인
2,874	input 입력 필드 앞뒤 공백 실시간 제거
2,873	Placeholder 포커스시 감추기
2,872	MySQL 중복된 데이터를 삭제
2,871	MySQL 중복 데이터 확인
2,870	sessionStorage.getItem 와 sessionStorage.setItem
2,869	제이쿼리 랜덤으로 배경색 변경
2,868	preg match에 관한 정규식
2,867	Stream an audio file with MediaPlayer 오디오 파일 스트리밍 하기
2,866	Audio Streaming PHP Code
2,865	PHP $ SERVER 환경 변수 정리
2,864	Vimeo (비메오) API 를 사용하여 플레이어 컨트롤하기
2,863	iframe 사용시 하단에 발생하는 공백 제거방법
2,862	아이프레임(iframe) 전체화면 가능하게 하기
2,861	부트스트랩(bootstrapk)에서 사용하는 class명 정리
2,860	부트스트랩 CSS
2,859	크롬에서 마진 조절
2,858	PHP 현재 페이지의 도메인명이나 url등의 정보 알아오기
2,857	PHP preg match all()
2,856	PHP 로 웹페이지 긁어오기 모든 방법 총정리!
2,855	[PHP] 원격지 파일 주소 노출 안하고 curl로 다운로드 받기
2,854	PHP 함수 정리
2,853	아이프레임(iframe) 비율 유지하면서 크기 조절하는 방법
2,852	PHP 배열에서 무작위로 하나 뽑아주는 array rand() 함수
2,851	PHP 정규식 정리
2,850	PHP 정규식을 활용한 태그 및 특정 문자열 제거 및 추출 방법