mysqli::real_query 함수는 SQL 쿼리를 실행하는 함수입니다. 그러나 이 함수는 쿼리 내에서 변수를 직접 사용할 수 없기 때문에 에러가 발생합니다.
이러한 쿼리에서 에러가 발생하는 이유는 SQL 인젝션 공격에 취약한 것입니다.
SQL 인젝션 공격은 사용자가 입력한 값을 SQL 쿼리에 직접 삽입하여 공격자의 의도에 따라 쿼리를 실행하는 공격입니다.
이러한 쿼리에서 SQL 인젝션 공격을 방지하기 위해서는 쿼리 내에서 변수를 직접 사용하지 말고, 쿼리 내에서 변수를 대체하는 방법을 사용해야 합니다.
예를 들어, 쿼리 내에서 변수를 대체하는 방법은 다음과 같습니다.
#hostingforum.kr
php
$name = mysqli_real_escape_string($conn, $name);
$password = mysqli_real_escape_string($conn, $password);
mysqli_query($conn, "SELECT * FROM users WHERE name = '$name' AND password = '$password'");
또한, 쿼리 내에서 변수를 대체하는 방법으로는 prepared statement을 사용할 수 있습니다.
#hostingforum.kr
php
$stmt = $conn->prepare("SELECT * FROM users WHERE name = ? AND password = ?");
$stmt->bind_param("ss", $name, $password);
$stmt->execute();
이러한 방법을 사용하면 SQL 인젝션 공격을 방지할 수 있습니다.
에러 메시지는 다음과 같습니다.
#hostingforum.kr
php
mysqli_error($conn);
이 메시지는 mysqli::real_query 함수를 사용할 때 발생하는 에러 메시지를 출력합니다.
2025-06-24 05:53