SQL Injection és un hack que aconsegueix jugar amb la nostra base de dades a través de formularis. Diguem que el hacker enganya als formularis perquè executin accions no esperades a la nostra base de dades. Amb aquest mètode es pot esborrar la nostra base de dades per complet, assignar drets d'administrador a cert usuari o llevar-nos l'accés a la nostra pròpia web. A més, si la nostra pàgina és una botiga, el hacker podria tenir accés a adreces i comptes bancaris, Alguna cosa realment perillós.
Hi ha moltes maneres enginyoses d'evitar el temut SQL Injection, però, hi ha un mètode infal·lible fins al moment. Es tracta d'una funció relativament nova de PHP que extreu d'una cadena de text qualsevol funció que existeixi en MYSQL, És a dir, que abans d'enviar-li les dades de l'formulari a la base de dades, comprova que no hi hagi cap funció MYSQL en aquestes dades, el que fa a aquesta funció infal·lible de moment.
La funció a utilitzar és:
mysql_real_escape_string();
Per utilitzar-la, simplement s'insereix dins el parèntesi la cadena de text a analitzar. Per exemple:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Més informació | Zebra Form: Llibreria PHP especial per a formularis