SQL injekzioa da formularioen bidez gure datu basearekin jolastea lortzen duen hack. Demagun hackerrak trikimailuak inprimakiak gure datu basean ustekabeko ekintzak exekutatu ditzaten. Metodo honekin gure datu basea guztiz ezabatu dezakezu, erabiltzaile jakin bati administratzaile eskubideak esleitu edo gure webgunerako sarbidea kendu dezakezu. Gainera, gure orria denda bada, hackerrak helbide eta banku kontuetarako sarbidea izan dezake, benetan arriskutsua den zerbait.
SQL injekzio beldurgarria saihesteko modu asmakor ugari daude, hala ere, orain arte metodo huts bat dago. Hau PHP funtzio nahiko berria da testu kate batetik MYSQLn dagoen edozein funtzio ateratzen duhau da, inprimakiaren datuak datu-basera bidali aurretik, datu horietan MYSQL funtziorik ez dagoela egiaztatzen du, eta horrek egiten du hori funtzio hutsa momentuz.
Erabili beharreko funtzioa hau da:
mysql_real_escape_string();
Erabiltzeko, besterik gabe txertatu aztertu beharreko testu katea parentesi barruan. Adibidez:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Informazio gehiago | Zebra formularioa: formularioetarako PHP liburutegi berezia
Idatzi lehenengo iruzkina