SQL Injection er et hack, der formår at lege med vores database gennem formularer. Lad os sige, at hackeren snyder den formularer så de udfører uventede handlinger i vores database. Med denne metode kan du slette vores database fuldstændigt, tildele administratorrettigheder til en bestemt bruger eller fjerne adgang til vores eget websted. Også, hvis vores side er en butik, hackeren kunne have adgang til adresser og bankkonti, noget virkelig farligt.
Der er mange geniale måder at undgå den frygtede SQL Injection, men der er indtil videre en idiotsikker metode. Dette er en relativt ny PHP-funktion, der udtrækker fra en tekststreng enhver funktion, der findes i MYSQL, det vil sige, inden formulardata sendes til databasen, kontrollerer den, at der ikke er nogen MYSQL-funktion i disse data, hvilket gør dette idiotsikker funktion i øjeblikket.
Funktionen, der skal bruges, er:
mysql_real_escape_string();
For at bruge det skal du blot indsæt tekststrengen, der skal analyseres inden for parentesen. For eksempel:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Flere oplysninger | Zebra Form: Specielt PHP-bibliotek til formularer