Το SQL Injection είναι ένα hack που καταφέρνει να παίξει με τη βάση δεδομένων μας μέσω φορμών. Ας πούμε ότι ο χάκερ ξεγελάει μορφές ώστε να εκτελούν απροσδόκητες ενέργειες στη βάση δεδομένων μας. Με αυτήν τη μέθοδο μπορείτε να διαγράψετε πλήρως τη βάση δεδομένων μας, να εκχωρήσετε δικαιώματα διαχειριστή σε έναν συγκεκριμένο χρήστη ή να καταργήσετε την πρόσβαση στον δικό μας ιστότοπο. Επίσης, εάν η σελίδα μας είναι κατάστημα, ο εισβολέας θα μπορούσε να έχει πρόσβαση σε διευθύνσεις και τραπεζικούς λογαριασμούς, κάτι πραγματικά επικίνδυνο.
Υπάρχουν πολλοί έξυπνοι τρόποι για να αποφύγετε το φοβερό SQL Injection, ωστόσο μέχρι στιγμής υπάρχει μια απίστευτη μέθοδος. Αυτή είναι μια σχετικά νέα συνάρτηση PHP που εξαγάγετε οποιαδήποτε συνάρτηση που υπάρχει στο MYSQL από μια συμβολοσειρά κειμένου, δηλαδή, πριν από την αποστολή των δεδομένων φόρμας στη βάση δεδομένων, ελέγχει ότι δεν υπάρχει συνάρτηση MYSQL σε αυτά τα δεδομένα, γεγονός που το κάνει ανθεκτική λειτουργία αυτή τη στιγμή.
Η λειτουργία που πρέπει να χρησιμοποιήσετε είναι:
mysql_real_escape_string();
Για να το χρησιμοποιήσετε απλά εισάγετε τη συμβολοσειρά κειμένου που θα αναλυθεί μέσα στην παρένθεση. Για παράδειγμα:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Περισσότερες πληροφορίες | Φόρμα Zebra: Ειδική βιβλιοθήκη PHP για φόρμες