0
성공적으로 mysql db에 저장 한 pdf 및 doc 파일을 검색하려고하는데 사용자가 액세스 할 수있게하려고합니다. 그러나 이것이 userimages/1364700305.30527.pdf입니다. 파일을 검색하는 코드는 다음과 같습니다.PHP를 사용하여 mysql db에서 pdf 및 doc 파일을 검색하는 방법
<?php
if (isset($_GET['svreg'])) {
$svreg = $_GET['svreg'];
$query = "
SELECT image_file, note_title, note_commt
FROM notez
WHERE svreg = '$svreg'
";
$result = mysql_query($query) or die('Error, query failed');
list($image_file, $note_title, $note_commt) = mysql_fetch_array($result);
}
?>
<a href="veh_over_view.php?svreg=<?=$svreg;?>"><?=$image_file;?></a> <br>
예 전 경로가 db입니다. 당신은 아주 잘 당신이 원하는 것을 설명하지 않는
사랑스러운 [SQL 인젝션 공격 (http://bobby-tables.com) 구멍을 원하는 이해하는 것입니다 . 서버 pwn3d를 가지고 즐기십시오. –
당신은 "그러나 이것은 내가 얻는 것입니다/1364700305.30527.pdf"라고 설명 할 수 있습니까? 이미지 파일 이름에 불완전한 경로가 있음을 의미합니까? – skv
** ** 더 많은 SQL 인터페이스 코드를 작성하기 전에 심각한 문제를 피하려면 [적절한 SQL 이스케이프] (http://bobby-tables.com/php)를 읽어야합니다. 이스케이프 처리되지 않은'$ _GET' 또는'$ _POST' 데이터를 쿼리에 추가함으로써 발생하는 [SQL injection bugs] (http://bobby-tables.com/). 또한, mysql_query는 새로운 애플리케이션에서 사용되어서는 안된다. PHP의 향후 버전에서 제거되는 비추천 인터페이스입니다. [PDO와 같은 현대적인 대체물은 배우기 어렵지 않습니다.] (http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/) 데이터베이스 코드를보다 쉽게 만들 수 있습니다. – tadman