함수 인자로 쿼리 일부 값을 넣게하는것이 위함할까요?
본문
아래 함수는 개발자가 하드코딩용으로 만든 함수입니다.
즉 유져가 입력하는 값에 의해 사용되지는 않습니다.
그럼에도불구하고 아래 함수처럼 인자($query)로 query 조건값을 넣는것이 보안상 위험한가요?
function chk_write_num($member,$board,$query=''){
global $g5;
$board_table_name = $board;
$g5_table = $g5['write_prefix'].$board_table_name;
$sql = "select count(mb_id) as cnt from {$g5_table} where mb_id = '{$member['mb_id']}'";
if($query!=''){
$sql .= " and $query";
}
$result = sql_fetch($sql);
$board_write_num = $result['cnt'];
return $board_write_num;
}
답변을 작성하시기 전에 로그인 해주세요.