Избягвайте SQL инжектирането с прост трик

SQL-инжекция

SQL инжектирането е хак, който успява да играе с нашата база данни чрез формуляри. Да кажем, че хакерът измами форми така че те да извършват неочаквани действия в нашата база данни. С този метод можете напълно да изтриете нашата база данни, да присвоите права на администратор на определен потребител или да премахнете достъпа до нашия собствен уебсайт. Също така, ако нашата страница е магазин, хакерът може да има достъп до адреси и банкови сметки, нещо наистина опасно.

Има много гениални начини за избягване на страшната SQL инжекция, но засега има един надежден метод. Това е относително нова PHP функция, която извлича от текстов низ всяка функция, която съществува в MYSQL, тоест преди да изпрати данните на формуляра в базата данни, той проверява дали в тези данни няма функция MYSQL, което прави това безпроблемна функция за момента.

Използваната функция е:

mysql_real_escape_string();

За да го използвате, просто вмъкнете текстовия низ, който ще се анализира, в скобите, Например:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Научете повече | Zebra Form: Специална PHP библиотека за формуляри


Съдържанието на статията се придържа към нашите принципи на редакторска етика. За да съобщите за грешка, щракнете върху тук.

Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.