Forðastu SQL Injection með einföldu bragði

SQL-inndæling

SQL inndæling er hakk sem tekst að leika sér með gagnagrunninn okkar í gegnum eyðublöð. Segjum að tölvuþrjóturinn bragði á eyðublöð svo að þeir framkvæmi óvæntar aðgerðir í gagnagrunninum okkar. Með þessari aðferð er hægt að eyða gagnagrunni okkar að fullu, úthluta stjórnanda réttindum til ákveðins notanda eða fjarlægja aðgang að okkar eigin heimasíðu. Einnig, ef síðan okkar er verslun, tölvuþrjóturinn gæti haft aðgang að heimilisföngum og bankareikningum, eitthvað virkilega hættulegt.

Það eru margar sniðugar leiðir til að forðast óttalega SQL inndælinguna, þó er ein vitlaus aðferð hingað til. Þetta er tiltölulega ný PHP aðgerð sem dregur úr textastreng hvaða aðgerð sem er til í MYSQL, það er, áður en formgögnin eru send í gagnagrunninn, athugar það að það sé engin MYSQL aðgerð í þeim gögnum, sem gerir þetta vitlaus aðgerð í augnablikinu.

Aðgerðin sem á að nota er:

mysql_real_escape_string();

Til að nota það, einfaldlega settu inn textastrenginn sem á að greina innan sviga. Til dæmis:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Nánari upplýsingar | Zebra eyðublað: Sérstakt PHP bókasafn fyrir eyðublöð


Innihald greinarinnar fylgir meginreglum okkar um siðareglur ritstjórnar. Til að tilkynna um villu smelltu hér.

Vertu fyrstur til að tjá

Skildu eftir athugasemd þína

Netfangið þitt verður ekki birt.

*

*

  1. Ábyrgðarmaður gagna: Miguel Ángel Gatón
  2. Tilgangur gagnanna: Control SPAM, umsögn stjórnun.
  3. Lögmæti: Samþykki þitt
  4. Samskipti gagna: Gögnunum verður ekki miðlað til þriðja aðila nema með lagalegri skyldu.
  5. Gagnageymsla: Gagnagrunnur sem Occentus Networks (ESB) hýsir
  6. Réttindi: Hvenær sem er getur þú takmarkað, endurheimt og eytt upplýsingum þínum.