태그 자료실

회원로그인

무료회원가입 보안로그인

아이디/비밀번호찾기

php sql인젝션 공격막기

7년 전

Example#1 mysql_real_escape_string() 예제

<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
?>
Example#2 SQL 인젝션 공격(Injection Attack)의 예

<?php
// Query database to check if there are any matching users
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($query);

// We didn't check $_POST['password'], it could be anything the user wanted! For example:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";

// This means the query sent to MySQL would be:
echo $query;
?>
MySQL로 전송되는 질의:

SELECT * FROM users WHERE name='aidan' AND password='' OR ''=''


유효한 비밀번호 없이 누구나 접속하여 접근이 가능하다.

Example#3 "Best Practice" 질의

mysql_real_escape_string()은 각 변수에 대해 SQL 인젝션을 방지한다. 이 예제는 Magic Quotes 설정과는 별개로 데이터베이스를 질의하는 "best practice" 방법을 시연한다.

<?php
// Quote variable to make safe
function quote_smart($value)
{
    // Stripslashes
    if (get_magic_quotes_gpc()) {
        $value = stripslashes($value);
    }
    // Quote if not integer
    if (!is_numeric($value)) {
        $value = "'" . mysql_real_escape_string($value) . "'";
    }
    return $value;
}

// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Make a safe query
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
            quote_smart($_POST['username']),
            quote_smart($_POST['password']));

mysql_query($query);
?>
SQL 인젝션 공격이 동작하지 않으며 질의가 정확하게 실행될 것이다

추천 목록

번호	제목
2,825	사용자가 웹브라우저에서 뒤로가기를 했을때 감지하는 방법
2,824	[jQuery]버튼 활성화, 비활성화
2,823	jQuery show() / hide() / toggle() 사용법
2,822	jquery 여러가지 이벤트
2,821	border-radius 속성
2,820	네이버 오픈API 음성합성 API 사용하는 PHP 샘플코드
2,819	UTF8 한글 자르기..
2,818	iconv 에러 발생시 계속 처리하기 옵션
2,817	[PHP] 현재 페이지의 도메인 , URL 정보 알아내기.
2,816	[PHP] 막강 기능 배열..
2,815	[CSS] - Input clear `X ` 버튼 제거 ( IE, Chrome, Firefox )
2,814	[Mobile] - 모바일웹 Href 태그속성들
2,813	[JqueryMobile] - 현재화면의 가로세로 사이즈 구하기
2,812	[JqueryMobile] - 화면의 가로, 세로 사이즈 구하는 방법
2,811	jquery로 가로 넓이(width), 세로 높이(height) 자동 조절
2,810	iframe 높이 jquery로 자동조절하기
2,809	jQuery 오른쪽 영역의 높이를 왼쪽 영역의 높이와 동일하게 하기
2,808	jquery에서 테이블 짝수, 홀수 번째 TR 배경색 변경하기
2,807	jquery에서 테이블에 마우스 오버시 해당 행의 배경색상 변경하기
2,806	jquery 스크립트내 특정값 확인하기 (디버깅)
2,805	jquery cookie (jquery.cookie.js)
2,804	jquery div 기본 넓이, 높이 계산 및 padding, border 포함 하기
2,803	jquery 다른버전 추가 사용시 충돌 방지 (카페24 스마트디자인 기본내장 jquery 1.4.4 버전과 충돌시 해결방법)
2,802	특정 페이지 종료시 확인 경고창 출력
2,801	jquery 마우스 오른쪽 버튼 클릭 금지 (우클릭 제한)
2,800	정규식 특정구간의 내용만 가져오기
2,799	괄호() 안의 내용만 추출
2,798	4기가 이상의 테이블을 만들고 싶다면(테이블의 AVG_ROW_LENGTH, MAX_ROWS)
2,797	정규 표현식(Regular Expression)
2,796	PHP에서 유용하게 쓰이는 문자열 처리 함수