SQL инжектирането е хак, който успява да играе с нашата база данни чрез формуляри. Да кажем, че хакерът измами форми така че те да извършват неочаквани действия в нашата база данни. С този метод можете напълно да изтриете нашата база данни, да присвоите права на администратор на определен потребител или да премахнете достъпа до нашия собствен уебсайт. Също така, ако нашата страница е магазин, хакерът може да има достъп до адреси и банкови сметки, нещо наистина опасно.
Има много гениални начини за избягване на страшната SQL инжекция, но засега има един надежден метод. Това е относително нова PHP функция, която извлича от текстов низ всяка функция, която съществува в MYSQL, тоест преди да изпрати данните на формуляра в базата данни, той проверява дали в тези данни няма функция MYSQL, което прави това безпроблемна функция за момента.
Използваната функция е:
mysql_real_escape_string();
За да го използвате, просто вмъкнете текстовия низ, който ще се анализира, в скобите, Например:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Научете повече | Zebra Form: Специална PHP библиотека за формуляри