Evitar el SQL Injection con un simple truco

SQL Injection es un hack que consigue jugar con nuestra base de datos a través de formularios. Digamos que el hacker engaña a los formularios para que ejecuten acciones no esperadas en nuestra base de datos. Con este método se puede borrar nuestra base de datos por completo, asignar derechos de administrador a cierto usuario o quitarnos el acceso a nuestra propia web. Además, si nuestra página es una tienda, el hacker podría tener acceso a direcciones y cuentas bancarias, algo realmente peligroso.

Existen muchas maneras ingeniosas de evitar el temido SQL Injection , no obstante, hay un método infalible hasta el momento. Se trata de una función relativamente nueva de PHP que extrae de una cadena de texto cualquier función que exista en MYSQL, es decir, que antes de enviarle los datos del formulario a la base de datos, comprueba que no haya ninguna función MYSQL en esos datos, lo que hace a esta función infalible por el momento.

La función a utilizar es:


mysql_real_escape_string();

Para utilizarla, simplemente inserta dentro del paréntesis la cadena de texto a analizar. Por ejemplo:


$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Más información | Zebra Form: Librería PHP especial para formularios


Categorías

PHP

Con 16 años, autodidacta y con cierta experiencia a la espalda, Sergio Ródenas, conocido en la web como Rodenastyle, es un joven español cuya dedicación es el desarrollo de Aplicaciones Web y el trabajo del SEO. Un amante de los diseños web responsive y las aplicaciones intuitivas, trabaja con entusiasmo el código desde que era un niño y actualmente domina la gran mayoría de los lenguajes utilizados en el desarrollo de Aplicaciones con sistema de gestión de contenidos (CMS) - Web Personal

Un comentario

  1.   benito dijo

    hola
    alert(“ok”);

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.