Evitar el SQL Injection con un simple truco

SQL-Injection

SQL Injection es un hack que consigue jugar con nuestra base de datos a través de formularios. Digamos que el hacker engaña a los formularios para que ejecuten acciones no esperadas en nuestra base de datos. Con este método se puede borrar nuestra base de datos por completo, asignar derechos de administrador a cierto usuario o quitarnos el acceso a nuestra propia web. Además, si nuestra página es una tienda, el hacker podría tener acceso a direcciones y cuentas bancarias, algo realmente peligroso.

Existen muchas maneras ingeniosas de evitar el temido SQL Injection , no obstante, hay un método infalible hasta el momento. Se trata de una función relativamente nueva de PHP que extrae de una cadena de texto cualquier función que exista en MYSQL, es decir, que antes de enviarle los datos del formulario a la base de datos, comprueba que no haya ninguna función MYSQL en esos datos, lo que hace a esta función infalible por el momento.

La función a utilizar es:


mysql_real_escape_string();

Para utilizarla, simplemente inserta dentro del paréntesis la cadena de texto a analizar. Por ejemplo:


$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Más información | Zebra Form: Librería PHP especial para formularios

Packs de recursos a precios increíbles
Aprovecha la ocasión y hazte con alguno de estos packs con recursos de calidad para profesionales, ahora a precios muy rebajados:
Pack rebajado un 99%1000 fotos rebajadas un 64%

Categorías

PHP

Sergio Ródenas

Con 16 años, autodidacta y con cierta experiencia a la espalda, Sergio Ródenas, conocido en la web como Rodenastyle, es un joven español cuya... Ver perfil ›

Un comentario

  1.   benito dijo

    hola
    alert(“ok”);

Escribe un comentario