php 파일에 mysql 쿼리 바로 입력하면 보안상 허점이 생기나요?
그누보드 소스를 보면
$sql = "SELECT '{$col['name']}'
FORM '{$table['name']}'
WHERE g5_member = '{$member['name']}"
이런식으로 변수를 불러와서 쿼리가 완성되도록 되어 있던데,
이게 보안을 위해서인지, 아니면 다른 목적인지 궁금합니다.
바로 입력해도 됩니다만 g5_member 테이블명이 변경되거나 하면 일일이 다 찾아가면서 수정해줘야 하는 문제점이 있어요
댓글을 작성하려면 로그인이 필요합니다.
그누보드는 테이블id를 파라미터로 하나의 공통 쿼리에 변수할당 방식으로 공통으로 불러오게 됩니다.
보안상 이유보단 편리하게 하기 위해 그런 것입니다.
안그러면 테이블마다 sql 작성하기엔 힘들죠.
답변을 작성하려면 로그인이 필요합니다.
이 게시물을 신고 하시겠습니까?신고사유를 선택해주세요.
