SQL Injection je hack koji se uspijeva poigrati s našom bazom podataka putem obrazaca. Recimo da haker prevari obrasci tako da izvršavaju neočekivane radnje u našoj bazi podataka. Ovom metodom možete potpuno izbrisati našu bazu podataka, dodijeliti administratorska prava određenom korisniku ili ukloniti pristup našoj vlastitoj web stranici. Takođe, ako je naša stranica trgovina, haker bi mogao imati pristup adresama i bankovnim računima, nešto zaista opasno.
Postoji mnogo domišljatih načina za izbjegavanje strašnog SQL ubrizgavanja, međutim zasad postoji jedan siguran način. Ovo je relativno nova PHP funkcija koja izvlači iz tekstualnog niza bilo koju funkciju koja postoji u MYSQL-u, odnosno prije slanja podataka obrasca u bazu podataka provjerava da u tim podacima nema MYSQL funkcije, što čini ovo trenutno sigurna funkcija.
Funkcija koju treba koristiti je:
mysql_real_escape_string();
Da ga koristim, jednostavno umetnite tekstni niz koji se analizira unutar zagrade. Na primjer:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Više informacija | Zebra obrazac: posebna PHP biblioteka za obrasce