حقن SQL هو الاختراق الذي يدير اللعب بقاعدة البيانات الخاصة بنا من خلال النماذج. لنفترض أن المخترق يخدع ملف أشكال حتى ينفذوا إجراءات غير متوقعة في قاعدة بياناتنا. باستخدام هذه الطريقة ، يمكنك حذف قاعدة البيانات الخاصة بنا تمامًا ، أو تعيين حقوق المسؤول إلى مستخدم معين أو إزالة الوصول إلى موقعنا على الويب. أيضًا ، إذا كانت صفحتنا عبارة عن متجر ، يمكن للمخترق الوصول إلى العناوين والحسابات المصرفية، شيء خطير حقًا.
هناك العديد من الطرق المبتكرة لتجنب حقن SQL المخيف ، ولكن هناك طريقة واحدة مضمونة حتى الآن. هذه وظيفة PHP جديدة نسبيًا استخراج أي وظيفة موجودة في MYSQL من سلسلة نصية، أي قبل إرسال بيانات النموذج إلى قاعدة البيانات ، يتحقق من عدم وجود دالة MYSQL في تلك البيانات ، مما يجعل هذا وظيفة مضمونة في الوقت الحالي.
الوظيفة التي يجب استخدامها هي:
mysql_real_escape_string();
لاستخدامه ببساطة أدخل السلسلة النصية المراد تحليلها داخل الأقواس. على سبيل المثال:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
معرفة المزيد | نموذج Zebra: مكتبة PHP خاصة للنماذج