사용자 입력 파라미터를 안전하게 처리하려면, query_string에 직접 입력하는 대신, 파라미터화된 쿼리문을 사용하는 것이 좋습니다. 예를 들어, 다음과 같이 query_string에 변수를 사용하는 대신, $1, $2 등과 같은 위치 매개변수를 사용하는 쿼리문을 작성할 수 있습니다.
#hostingforum.kr
sql
PREPARE my_query(text, integer) AS SELECT * FROM my_table WHERE name = $1 AND age = $2;
EXECUTE my_query('John', 25);
pg_send_query_params 함수의 첫 번째 인자인 query_string에는 쿼리 문자열을 직접 입력하는 것이 안전하지 않습니다. query_string에 사용된 변수는 text 타입으로 처리됩니다.
pg_send_query_params 함수를 사용하여 파라미터화된 쿼리를 실행하는 예제 코드는 다음과 같습니다.
#hostingforum.kr
sql
DECLARE
result integer;
BEGIN
result := pg_send_query_params('SELECT * FROM my_table WHERE name = $1 AND age = $2', ARRAY['John', 25]);
IF result = 0 THEN
RAISE NOTICE '쿼리 실행 성공';
ELSE
RAISE NOTICE '쿼리 실행 실패';
END IF;
END;
이 코드는 쿼리 문자열에 위치 매개변수를 사용하여 파라미터화된 쿼리를 실행하고, 결과를 확인합니다.
2025-05-17 01:57