Wordpress에서 SQL 주입을 방지하는 방법

Wordpress에서 SQL 주입을 방지하는 방법

현재 다음 쿼리를 사용하여 php를 사용하여 mysql 값을 가져오고 있습니다.

코드는 작동하지만 SQL 주입이 걱정됩니다.

SQL 주입을 방지하는 방법

<?php include_once("wp-config.php");
@$gameid = $_GET['gameid'];

global $wpdb;
$fivesdrafts = $wpdb->get_results( 
    "
    SELECT ID
    FROM $wpdb->posts
    WHERE  ID = ".$gameid." 

    "
);
?>

이것은 안전합니까?

<?php include_once("wp-config.php");
@$gameid = mysql_real_escape_string($_GET['gameid']);

global $wpdb;
$fivesdrafts = $wpdb->get_results(
$wpdb->prepare(
    "
    SELECT ID
    FROM $wpdb->posts
    WHERE  ID = %d", ".$gameid.")
);
?>

SQL Injection 공격에 대한 쿼리 보호에 대한 WordPress Codex에서 다음을 수행합니다.

<?php $sql = $wpdb->prepare( 'query' , value_parameter[, value_parameter ... ] ); ?>

조금 더 아래로 스크롤하면 예가 있습니다.

또한 WordPress에서 SQL 이스케이프에 대한 자세한 개요를 보려면 데이터베이스 검증 문서를 읽어야 합니다.

언급URL : https://stackoverflow.com/questions/26753146/how-to-prevent-sql-injection-in-wordpress