Évitez l'injection SQL avec une astuce simple

Injection SQL

L'injection SQL est un hack qui parvient à jouer avec notre base de données via des formulaires. Disons que le hacker trompe le des formes afin qu'ils exécutent des actions inattendues dans notre base de données. Avec cette méthode, vous pouvez supprimer complètement notre base de données, attribuer des droits d'administrateur à un certain utilisateur ou supprimer l'accès à notre propre site Web. Aussi, si notre page est un magasin, le pirate pourrait avoir accès aux adresses et aux comptes bancaires, quelque chose de vraiment dangereux.

Il existe de nombreuses façons ingénieuses d'éviter l'injection SQL redoutée, mais il existe jusqu'à présent une méthode infaillible. Il s'agit d'une fonction PHP relativement nouvelle qui extrait d'une chaîne de texte toute fonction qui existe dans MYSQL, c'est-à-dire qu'avant d'envoyer les données du formulaire à la base de données, il vérifie qu'il n'y a pas de fonction MYSQL dans ces données, ce qui rend ce fonction infaillible pour le moment.

La fonction à utiliser est:

mysql_real_escape_string();

Pour l'utiliser, simplement insérer la chaîne de texte à analyser entre parenthèses. Par exemple:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

En savoir plus | Zebra Form: bibliothèque PHP spéciale pour les formulaires


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.