Az SQL injekció az egy hack, amely űrlapokon keresztül képes lejátszani az adatbázisunkat. Tegyük fel, hogy a hacker becsapja a formák hogy váratlan műveleteket hajtsanak végre az adatbázisunkban. Ezzel a módszerrel teljesen törölheti az adatbázisunkat, rendszergazdai jogokat rendelhet egy bizonyos felhasználóhoz, vagy megszüntetheti a saját weboldalunkhoz való hozzáférést. Továbbá, ha az oldalunk üzlet, a hacker hozzáférhetett a címekhez és a bankszámlákhoz, valami nagyon veszélyes.
Számos ötletes módszerrel lehet elkerülni a rettegett SQL injekciót, azonban egyelőre létezik egy bolondbiztos módszer. Ez egy viszonylag új PHP funkció, amely kivon egy szöveges karakterláncból minden olyan funkciót, amely létezik a MYSQL-ben, vagyis mielőtt az űrlapadatokat elküldené az adatbázisba, ellenőrzi, hogy az adatokban nincs-e MYSQL függvény, ami ezt bolondbiztos funkció.
A használni kívánt funkció:
mysql_real_escape_string();
Használatához egyszerűen illessze be az elemzendő szöveges karakterláncot a zárójelbe. Például:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Tudjon meg többet | Zebra Form: Speciális PHP könyvtár az űrlapokhoz