הזרקת SQL היא פריצה שמצליחה לשחק עם בסיס הנתונים שלנו באמצעות טפסים. בוא נגיד שההאקר מתעתע ב טפסים כך שהם יבצעו פעולות בלתי צפויות במסד הנתונים שלנו. בשיטה זו תוכלו למחוק את מסד הנתונים שלנו לחלוטין, להקצות זכויות מנהל למשתמש מסוים או להסיר גישה לאתר שלנו. כמו כן, אם הדף שלנו הוא חנות, ההאקר יכול לקבל גישה לכתובות ולחשבונות בנק, משהו ממש מסוכן.
ישנן דרכים גאוניות רבות להימנע מהזרקת ה- SQL האימתנית, אולם עד כה קיימת שיטה אחת חסונה. זו פונקציית PHP חדשה יחסית לחלץ כל פונקציה שקיימת ב- MYSQL ממחרוזת טקסטכלומר, לפני שליחת נתוני הטופס למסד הנתונים, הוא בודק כי אין נתונים MYSQL בנתונים אלה, מה שהופך את זה פונקציה חסינת שוטים לרגע.
הפונקציה לשימוש היא:
mysql_real_escape_string();
כדי להשתמש בו, פשוט הכנס את מחרוזת הטקסט לניתוח בסוגריים. לדוגמה:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
מידע נוסף | טופס זברה: ספריית PHP מיוחדת לטפסים