SQL-injektio on hakata, joka onnistuu pelaamaan tietokannassamme lomakkeiden kautta. Oletetaan, että hakkeri huijaa lomakkeet jotta he suorittavat odottamattomia toimia tietokannassamme. Tällä menetelmällä voit poistaa tietokannamme kokonaan, määrittää järjestelmänvalvojan oikeudet tietylle käyttäjälle tai poistaa pääsyn omalle verkkosivustollemme. Jos sivumme on kauppa, hakkeri voi käyttää osoitteita ja pankkitilejä, jotain todella vaarallista.
Pelottavan SQL-injektion välttämiseksi on monia nerokkaita tapoja, mutta tähän mennessä on yksi typerysmenetelmä. Tämä on suhteellisen uusi PHP-toiminto otteet tekstimerkkijonosta minkä tahansa MYSQL: ssä olevan toiminnon, eli ennen lomaketietojen lähettämistä tietokantaan se tarkistaa, ettei tiedoissa ole MYSQL-toimintoa, mikä tekee tästä tyhmä toiminto tällä hetkellä.
Käytettävä toiminto on:
mysql_real_escape_string();
Voit käyttää sitä yksinkertaisesti lisää analysoitava tekstimerkkijono sulkeisiin. Esimerkiksi:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Lisätietoja | Zebra Form: Erityinen PHP-kirjasto lomakkeille