SQL Injection(SQL인젝션) 공격에 방어적인 MySQL 함수 사용법 > PHP
PHP

SQL Injection(SQL인젝션) 공격에 방어적인 MySQL 함수 사용법

조회 69회 댓글 0건

SQL 인젝션 방어를 위해서 sprintf 함수를 많이 사용 하곤 했는데요. 이건 스트링에 그대로 대입을 시켜 주는 방식으로 쿼리문 문자열이 변경되는 방식 입니다.

이 방식 말고 mysqli 함수에서 제공하는 기능이 이건 좀 다릅니다.

파라미터 값이 문자열로 들어가는 것이 아니라 조건 그대로 들어가도록 되어 있습니다. 그렇기 때문에 OR 1=1 이런것이 먹히질 않습니다.



  # CREATE TABLE test.test1 ( hostname char(22), indate datetime, diskval int ) comment = 'test table';
  $tableName  = 'test.test1';

  # 입력
  $hostname = 'list2';
  $diskval  = 7702;
  $sql      = "INSERT INTO $tableName (hostname, indate, diskval) VALUES (?, NOW(), ?)";
  $stmt     = $dbcon->prepare($sql);
  $rbind    = $stmt->bind_param("si", $hostname, $diskval);
  $rexec    = $stmt->execute();
  # 성공여부는 0 보다 크면 성공 또는 오류 코드가 있나 확인: $dbcon->errno
  // $stmt->affected_rows
  echo 'insert 성공: ' . $dbcon->affected_rows . PHP_EOL;

  # 업데이트
  $sql      = "UPDATE $tableName SET indate=now(), diskval=? WHERE hostname=?";
  $stmt     = $dbcon->prepare($sql);
  $rbind    = $stmt->bind_param("is", $diskval, $hostname);
  $rexec    = $stmt->execute();
  echo 'update 성공: ' . $dbcon->affected_rows . PHP_EOL;

  # 여러개 가져오기
  $sqlSelect = "SELECT * FROM $tableName WHERE hostname = ? LIMIT 2";
  $stmt = $dbcon->prepare($sqlSelect);
  $stmt->bind_param('i', $hostname);
  $stmt->execute();
  $result = $stmt->get_result();
  while ($row = $result->fetch_assoc()) {
    print_r($row);
  }
  $stmt->close();
  echo '=--------------------------------------------' . PHP_EOL;

  # 여러개 가져오기 while로 돌 필요 없이 모두 가져온다.
  $sqlSelect = "SELECT * FROM $tableName WHERE hostname = ? LIMIT 2";
  $stmt = $dbcon->prepare($sqlSelect);
  $stmt->bind_param('i', $hostname);
  $stmt->execute();
  $row = $stmt->get_result()->fetch_all(MYSQLI_ASSOC);
  print_r($row);
  $stmt->close();
  echo '=--------------------------------------------' . PHP_EOL;

  # 1개 가져오기
  $sqlSelect = "SELECT * FROM $tableName WHERE hostname = ? and diskval=? LIMIT 2";
  $stmt = $dbcon->prepare($sqlSelect);
  $stmt->bind_param('ii', $hostname, $diskval);
  $stmt->execute();
  $row = $stmt->get_result()->fetch_assoc();
  print_r($row);
  $stmt->close();

 


기본적인 사용방법입니다.

bind_param 이것은 한라인에 모두 적어야 하며 두번째 부터 변수가 들어가야 합니다. 상수가 들어가면 오류가 발생 합니다.

sql 구문은 prepare 으로 들어가기 전까지는 얼마든지 변경해도 문제 되지 않습니다.


인서트나 업데이트의 경우는 성공여부를 오류가 있는지 없는지로 판단 하면 됩니다.

마지막에 close() 하여 반드시 닫지 않아도 문제가 생기거나 하지는 않습니다.

PHP는 프로그램이 짧아서 바로 자동 해제가 됩니다. 다만 프로그램이 쉘에서 백그라운드로 오래 실행되거나 할 때는 처리해줄 필요가 있겠습니다.




  • 페이스북으로 공유
  • 트위터로 공유
  • 구글플러스로 공유
전체 194건 1 페이지
  • 오래전부터 사용하는 내장함수 try-catch 블록으로 잡히지 않는 오류
    profile_image 앞으로 @ 사용하지 말라고 하니 새로 만드는 프로그램은 try-catch 감싸서 처리 하는 것이 좋다.그래서 필요한 것으로 아래를 참고하면 된다. 그리고 아래 복원하는 함수면 한 줄이기 때문에 함수가 왜? 필요할까 싶지만 이런 경우도 함수로 만들어 사용하면 후에 어려운 일이 발생 했을 때 해결 할 수 있는 좋은 일이 생기게 되기도 한다.  # 사용자 오류처리기   convertErrorsToExceptions();   #   try {    $…
  • HTML to TXT(html2txt) 태그를 삭제 후 텍스트만 반환
    profile_image 내장함수에 strip_tags 라는 것이 있습니다.HTML을 삭제하고 txt만 남기죠. 그리고 나서 공백이 2개 이상이거나 줄바꿈이 필요 없거나 탭 같은것은 별도 삭제를 해줘야 합니다. 여기서 다루는 함수는 자바스크립트등 몇가지를 더 삭제해 주는 기능입니다.결과 확인 후 본인에게 맞지 않으면 좀 더 추가 해야 될 수 있는데 요즘은 GPT4 이용하면 도움이 많이 됩니다.  /**   * html2txt    *    * @param mixed $…
  • 페이지 수집할때 많이 사용하는 형태의 curl
    profile_image 사이트의 페이지를 소켓방식으로 수집할때 많이 사용하는 curl 클래스 입니다.본인의 상황에 따라서 좀더 조건을 줘서 처리를 하면 되며 쿠키를 저장해서 다시 보내줘야 한 다면 이 부분에 대한 주석 처리 된것을 풀어서 테스트 해보면 됩니다.중요한것은 HTTP 프로토콜에 대한 명확한 이해가 가장 중요합니다.원리를 모르는 상태에서 사용을 하다보면 헛발질을 많이 할 수 밖에 없기 때문이죠~코딩을 잘 한다는 것은 깔끔하게 재사용가능하게 하는 것도 중요하지…
  • [AWS] SES API + PEAR MIME 라이브러리 활용하는 방법
    profile_image AWS SES API를 활용하면서 PEAR 라이브러리 활용할 필요가 있을 때 사용하면 되지만 일반적으로는 사용할 필요는 없습니다.하지만 필요한 분이 있을 수 있어 예전 소스중에 있어 올립니다. 1) PEAR 설치 사용하는 PHP 버전의 경로를 지정해서 설치 해야 한다. wget https://pear.php.net/go-pear.phar /usr/local/php82/bin/php go-pear.phar /usr/local/php82/bin/p…
  • [AWS] SES API를 통한 메일 발송 클래스
    profile_image AWS에서 메일을 발송하는 방법에는 SMTP 설정을 통한 방법이 있고 다른 하나는 API를 이용한 방법이 있는데여기에선 API를 이용한 방법에 대한 예 입니다.보통 간단하게 조금 보낼때는 관계 없는데 많이 보내게 되면 AWS 비용이 비싸고 반송 메일에 따라 좋지 않으면 패널티도 받기 때문에 AWS 이용은 많이 안하는 편입니다.대량메일 발송서비스만 전문으로 해주는곳을 이용하거나 직접 구축하여 발송을 하게 됩니다.한달 몇 천건 정도면 이것 이용해도…
  • OpenSSL 라이브러리 없이 PHP로만 구현된 간단한 암호화
    profile_image 간혹 PHP만 설치해서 사용하고 최대한 라이브러리 설치 하지 않게 사용하면서 간단하게 암호화할 필요가 있을 경우 사용 합니다. 가능하면 OpenSSL 라이브러리 사용하는 암호화 방식을 추천 합니다.  그리고 어떤 방식이든 대칭형 암호화에서 키는 가능하면 길게 만들고 여기선 md5 사용 했지만 sha512 같은것 사용하면 더 좋고 시간, 또는 일마다 같은 문자도 암호화 결과가 다르게 만드는것이 좋습니다. 그 부분은 개인의 상황에 맞게 별도의 메소…
  • PHP 크롬 웹브라우저를 이용한 크롤링
    profile_image 다른 언어에선 셀레리움을 많이 사용하는듯 한데 PHP에서 페이스북에서 만든 웹드라이브를 사용합니다.설치는 어렵지 않으며 여기선 윈도우용 PHP가 이미 설치 되어 있다고 가정하고 웹드라이브 설치 하는것 부터 진행 합니다.▷ 윈도우용 컴포저 다운로드https://getcomposer.org/Composer-Setup.exe▷ 필요한 라이브러리 설치composer require php-webdriver/webdrivercomposer require …