SQL Injection jest hack, który udaje się bawić naszą bazą danych za pomocą formularzy. Powiedzmy, że haker oszukuje formy aby wykonywali nieoczekiwane akcje w naszej bazie danych. Dzięki tej metodzie możesz całkowicie usunąć naszą bazę danych, przypisać uprawnienia administratora określonemu użytkownikowi lub usunąć dostęp do naszej własnej strony internetowej. Jeśli nasza strona to sklep, haker może mieć dostęp do adresów i kont bankowych, coś naprawdę niebezpiecznego.
Istnieje wiele pomysłowych sposobów na uniknięcie przerażającego wstrzyknięcia SQL, jednak jak dotąd jest jedna niezawodna metoda. Jest to stosunkowo nowa funkcja PHP wyciąga z ciągu tekstowego dowolną funkcję istniejącą w MYSQLczyli przed wysłaniem danych formularza do bazy danych sprawdza, czy w tych danych nie ma funkcji MYSQL, co sprawia, że niezawodna funkcja w tej chwili.
Funkcją do użycia jest:
mysql_real_escape_string();
Aby z niego skorzystać, po prostu wstaw ciąg tekstowy do analizy w nawiasach, Por ejemplo:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Więcej informacji | Formularz Zebra: specjalna biblioteka PHP dla formularzy