DB 쿼리 실행하는 함수를
function sql_query($sql) {
global $mysqli;
$result = $mysqli->query($sql);
return $result;
}
function sql_get_row($sql) {
global $mysqli;
$query = $mysqli->query($sql);
$result = $query->fetch_array(MYSQLI_ASSOC);
return $result;
}
function sql_get_value($sql) {
global $mysqli;
$query = $mysqli->query($sql);
$result = $query->fetch_array(MYSQLI_NUM);
return $result[0];
}
이렇게 짜봤거든요
$_POST 같은 곳에서는 htmlspecialchars 로 감쌀 것입니다.
이래도 위험한가요
xe 라이믹스 수정하는거 아니고요 개인적인 블로그 만들 생각입니다.
고수님들 답변 부탁드려요
네, htmlspecialchars는 XSS 공격을 막기 위한 함수이지 SQL 인젝션 공격을 막기 위한 함수가 아닙니다. 쿼리를 손으로 짜서 넣는 습관을 도저히 버릴 수 없다면 PDO를 사용한 prepared statement 사용법을 알아보세요.