Vyhněte se SQL Injection jednoduchým trikem

Injekce SQL

SQL Injection je hack, který dokáže hrát s naší databází prostřednictvím formulářů. Řekněme, že hacker triky formuláře aby v naší databázi provedli neočekávané akce. Touto metodou můžete zcela vymazat naši databázi, přiřadit práva správce určitému uživateli nebo odebrat přístup na naši vlastní webovou stránku. Pokud je naše stránka obchodem, hacker mohl mít přístup k adresám a bankovním účtůmněco opravdu nebezpečného.

Existuje mnoho důmyslných způsobů, jak se vyhnout obávanému SQL Injection, zatím však existuje jedna spolehlivá metoda. Toto je relativně nová funkce PHP extrahuje z textového řetězce jakoukoli funkci, která existuje v MYSQL, tj. před odesláním dat formuláře do databáze zkontroluje, zda v těchto datech není žádná funkce MYSQL, což spolehlivá funkce pro tuto chvíli.

Funkce, která se má použít, je:

mysql_real_escape_string();

Chcete-li jej použít, jednoduše vložte textový řetězec, který má být analyzován, do závorky. Například:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Více informací | Zebra Form: Speciální knihovna PHP pro formuláře


Obsah článku se řídí našimi zásadami redakční etika. Chcete-li nahlásit chybu, klikněte zde.

Buďte první komentář

Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.