SQL Injection on häkk, mis suudab vormide kaudu meie andmebaasiga mängida. Oletame, et häkker petab vormid meie andmebaasis ootamatute toimingute tegemiseks. Selle meetodi abil saate meie andmebaasi täielikult kustutada, määrata teatud kasutajale administraatori õigused või eemaldada juurdepääsu meie enda veebisaidile. Kui meie leht on pood, häkkeril võiks olla juurdepääs aadressidele ja pangakontodele, midagi tõeliselt ohtlikku.
Kardetud SQL-i süstimise vältimiseks on palju leidlikke viise, kuid seni on olemas üks lollikindel meetod. See on suhteliselt uus PHP funktsioon, mis ekstraktige mis tahes funktsioon, mis on olemas MYSQL-is, tekstistringistehk enne vormiandmete andmebaasi saatmist kontrollib ta, et nendes andmetes pole funktsiooni MYSQL, mis muudab selle hetkel lollikindel funktsioon.
Kasutatav funktsioon on:
mysql_real_escape_string();
Selle kasutamiseks lihtsalt sisestage analüüsitav tekstistring sulgudesse. Näiteks:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Lisateave | Sebra vorm: spetsiaalne PHP teek vormide jaoks