SQL inndæling er hakk sem tekst að leika sér með gagnagrunninn okkar í gegnum eyðublöð. Segjum að tölvuþrjóturinn bragði á eyðublöð svo að þeir framkvæmi óvæntar aðgerðir í gagnagrunninum okkar. Með þessari aðferð er hægt að eyða gagnagrunni okkar að fullu, úthluta stjórnanda réttindum til ákveðins notanda eða fjarlægja aðgang að okkar eigin heimasíðu. Einnig, ef síðan okkar er verslun, tölvuþrjóturinn gæti haft aðgang að heimilisföngum og bankareikningum, eitthvað virkilega hættulegt.
Það eru margar sniðugar leiðir til að forðast óttalega SQL inndælinguna, þó er ein vitlaus aðferð hingað til. Þetta er tiltölulega ný PHP aðgerð sem dregur úr textastreng hvaða aðgerð sem er til í MYSQL, það er, áður en formgögnin eru send í gagnagrunninn, athugar það að það sé engin MYSQL aðgerð í þeim gögnum, sem gerir þetta vitlaus aðgerð í augnablikinu.
Aðgerðin sem á að nota er:
mysql_real_escape_string();
Til að nota það, einfaldlega settu inn textastrenginn sem á að greina innan sviga. Til dæmis:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Nánari upplýsingar | Zebra eyðublað: Sérstakt PHP bókasafn fyrir eyðublöð
Vertu fyrstur til að tjá