ASP용 String.Format() 함수, eregi_replace() 함수, SQL 인젝션 방지 함수

개요

쿼리문 작성 어떻게 하나요?

그냥 막코딩 하면 되지요~~

가독성 따윈 필요 없으니

", name=" + name + ", nick=" +

이런 식으로 해도 되지요.

열맞추고 줄맞추고 해서 가독성 높일 수도 있습니다.

저도 전에 그렇게 했었어요.

 

하지만 잠깐 시간을 내어 아래 함수 사용법을 익히면,

가독성이 높은 쿼리문을 작성 할 수 있습니다.

가독성이 높아지면 실수할 확률이 적어지고, 디버깅 횟수가 줄게 되어

결과적으로 빠른 코딩이 가능해 집니다.

 

가장 중요한 함수는 가독성을 위한 stringFormat()과 보안을 위한 toDbString() 입니다.

 

 

함수들

<%

'닷넷의 String.Format을 흉내낸 함수 입니다.
Function stringFormat(sVal, aArgs)
    Dim i
    For i=0 To UBound(aArgs)
        sVal = Replace(sVal,"{" & CStr(i) & "}",aArgs(i))
    Next
    StringFormat = sVal
End Function

'아래와 같이 결과를 변수에 무조건 대입해야 합니다. 아니면 문법 오류가 발생 합니다.
'Dim result
'result = stringFormat("this {0} a tes{1} string containing {2} values", _
'             Array("is", "t", "some"))

 

'PHP의 eregi_replace 를 흉내낸 함수 입니다.
Function eregi_replace(pattern, replace, text)
    Dim eregObj
    Set eregObj = New RegExp
    eregObj.Pattern = pattern   '패턴 설정
    eregObj.IgnoreCase = True   '대소문자 구분 여부
    eregObj.Global = True       '전체 문서에서 검색
    eregi_replace = eregObj.Replace(text, replace): 'Replace String
End Function

 

'문자열을 쿼테이션으로 감싸주는 것을 기본으로 하여,
'사용자가 입력한 ' 에 대한 지원과
'SQL 인젝션 방지 그리고 자바스크립트 삽입 방지를 지원합니다.
Function toDbString(str)
    str = Replace(str, "'", "''")
    str = "'" + str + "'"
    str = eregi_replace("<script", "< script", str)
    str = eregi_replace("</script", "< /script", str)
    toDbString = str
End Function
%>

 

 

사용법

<%

    query = stringFormat("update bbsCon set title={0}, content={1}, ip={2} where id={3}", _
                            Array(toDbString(title), _
                                  toDbString(content), _
                                  toDbString(Request.ServerVariables("REMOTE_ADDR")), _
                                  id _
                            ) _
            )

    query = stringFormat("insert into bbsCon (title, content, nick, ip) values ({0}, {1}, {2}, {3})", _
                            Array(toDbString(title), _
                                  toDbString(content), _
                                  toDbString(Session("nick")), _
                                  toDbString(Request.ServerVariables("REMOTE_ADDR")) _
                            ) _
            )

 

    query = stringFormat("delete from bbsCon where id={0}", _
                            Array(id))

 

    query = stringFormat("select id, dtReg, title, nick, readCnt, ip from bbsCon order by id desc", _
                            Array())

 

    query = stringFormat("select * from bbsCon where id={0}", _
                            Array(id))
%>