가능한 중복 : 그러니까 기본적으로
Are mysql_real_escape_string() and mysql_escape_string() sufficient for app security?이 PHP 코드가 악용 될 수 있습니까?
나는 URL
예에 qryName 있습니다 mysite.com/qryName=WHAT
if (isset($_GET['qryName']))
{
$qryName = mysql_real_escape_string(filter($_GET['qryName']));
}
$urldata = mysql_fetch_assoc(mysql_query("SELECT * FROM gangs WHERE ShortName = '" . $qryName . "' LIMIT 1"));
$ urldata는 코드이므로 datab에서 거의 선택합니다. ase. 데이터베이스에서 qryName에는 공백이나 특수 문자 등이 없습니다.
악용 될 수 있는지 궁금합니다.
http://codereview.stackexchange.com/를 확인하지 않습니다 – CodeCaster
PDO를 배우십시오. mysql_ * 함수는 보안상의 이유로 공식적으로 사용되지 않습니다. – itachi
@itachi이 시나리오에서'mysql_real_escape_string()'이 안전하지 않다는 것을 보여주십시오. –