WordPress에서 IN() 조건을 사용하여 준비된 문 처리
WordPress는 SQL 삽입 공격으로부터 보호하고 쿼리 성능을 향상시키기 위해 준비된 문을 제공합니다. 그러나 문자열에 여러 값이 포함된 IN() 조건을 사용하면 문제가 발생할 수 있습니다.
문제 설명:
다음 상황을 고려하세요.
$villes = '"paris","fes","rabat"'; $sql = 'SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN(%s)'; $query = $wpdb->prepare($sql, $villes);
이 코드는 문자열을 제대로 이스케이프하지 않으므로 이스케이프된 큰따옴표가 있는 단일 문자열이 생성됩니다.
SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN('\"paris\",\"fes\",\"rabat\"')
해결책:
올바르게 하려면 WordPress에서 여러 값이 포함된 준비된 문을 구현하려면 다음 단계를 따르세요.
// Create an array of the values to use in the list $villes = array('paris', 'fes', 'rabat'); // Generate the SQL statement. // Number of %s items based on length of $villes array $sql = " SELECT DISTINCT telecopie FROM `comptage_fax` WHERE `ville` IN(" . implode(', ', array_fill(0, count($villes), '%s')) . ") "; // Call $wpdb->prepare passing the values of the array as separate arguments $query = call_user_func_array(array($wpdb, 'prepare'), array_merge(array($sql), $villes));
사용된 PHP 함수:
이 접근 방식을 사용하면 $villes의 값이 적절하게 이스케이프되고 IN() 조건에서 별도의 값으로 처리됩니다.
부인 성명: 제공된 모든 리소스는 부분적으로 인터넷에서 가져온 것입니다. 귀하의 저작권이나 기타 권리 및 이익이 침해된 경우 자세한 이유를 설명하고 저작권 또는 권리 및 이익에 대한 증거를 제공한 후 이메일([email protected])로 보내주십시오. 최대한 빨리 처리해 드리겠습니다.
Copyright© 2022 湘ICP备2022001581号-3