SQL Injection adalah peretasan yang berhasil bermain dengan database kami melalui formulir. Katakanlah peretas menipu formulir untuk melakukan tindakan tak terduga di database kami. Dengan metode ini Anda dapat menghapus database kami sepenuhnya, menetapkan hak administrator ke pengguna tertentu atau menghapus akses ke situs web kami sendiri. Selain itu, jika halaman kami adalah toko, peretas dapat memiliki akses ke alamat dan rekening bank, sesuatu yang sangat berbahaya.
Ada banyak cara cerdik untuk menghindari SQL Injection yang ditakuti, namun sejauh ini ada satu metode yang sangat mudah. Ini adalah fungsi PHP yang relatif baru ekstrak fungsi apa pun yang ada di MYSQL dari string teks, yaitu, sebelum mengirim data formulir ke database, ia memeriksa bahwa tidak ada fungsi MYSQL dalam data itu, yang membuat ini fungsi yang sangat mudah untuk saat ini.
Fungsi yang digunakan adalah:
mysql_real_escape_string();
Untuk menggunakannya, cukup masukkan string teks yang akan dianalisis di dalam tanda kurung. Sebagai contoh:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Pelajari lebih lanjut | Formulir Zebra: Perpustakaan PHP khusus untuk formulir