Evitar el SQL Injection con un simple truco

SQL-Injection

SQL Injection es un hack que consigue jugar con nuestra base de datos a través de formularios. Digamos que el hacker engaña a los formularios para que ejecuten acciones no esperadas en nuestra base de datos. Con este método se puede borrar nuestra base de datos por completo, asignar derechos de administrador a cierto usuario o quitarnos el acceso a nuestra propia web. Además, si nuestra página es una tienda, el hacker podría tener acceso a direcciones y cuentas bancarias, algo realmente peligroso.

Existen muchas maneras ingeniosas de evitar el temido SQL Injection , no obstante, hay un método infalible hasta el momento. Se trata de una función relativamente nueva de PHP que extrae de una cadena de texto cualquier función que exista en MYSQL, es decir, que antes de enviarle los datos del formulario a la base de datos, comprueba que no haya ninguna función MYSQL en esos datos, lo que hace a esta función infalible por el momento.

La función a utilizar es:


mysql_real_escape_string();

Para utilizarla, simplemente inserta dentro del paréntesis la cadena de texto a analizar. Por ejemplo:


$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Más información | Zebra Form: Librería PHP especial para formularios


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.