SQL Injection je hack koji se uspijeva poigrati s našom bazom podataka putem obrazaca. Recimo da haker prevari obrasci tako da izvršavaju neočekivane radnje u našoj bazi podataka. Ovom metodom možete potpuno izbrisati našu bazu podataka, dodijeliti administratorska prava određenom korisniku ili ukloniti pristup vlastitom web mjestu. Također, ako je naša stranica trgovina, haker bi mogao imati pristup adresama i bankovnim računima, nešto stvarno opasno.
Postoji mnogo domišljatih načina za izbjegavanje strašnog ubrizgavanja SQL-a, međutim zasad postoji jedan siguran način. Ovo je relativno nova PHP funkcija koja izvlači iz tekstualnog niza bilo koju funkciju koja postoji u MYSQL-u, odnosno prije slanja podataka obrasca u bazu podataka provjerava nema li MYSQL funkcije u tim podacima, što čini ovo trenutno sigurna funkcija.
Funkcija koju treba koristiti je:
mysql_real_escape_string();
Da ga iskoristim, jednostavno umetnite tekstni niz koji će se analizirati unutar zagrade, Na primjer:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Više informacija | Zebra obrazac: posebna PHP biblioteka za obrasce