簡単なトリックでSQLインジェクションを回避する

SQLインジェクション

SQLインジェクションは フォームを介してデータベースを操作するハック。 ハッカーがだましているとしましょう フォーム データベースで予期しないアクションを実行するようにします。 この方法を使用すると、データベースを完全に削除したり、特定のユーザーに管理者権限を割り当てたり、独自のWebサイトへのアクセスを削除したりできます。 また、私たちのページがストアの場合、 ハッカーは住所や銀行口座にアクセスできる可能性があります、本当に危険なもの。

恐ろしいSQLインジェクションを回避するための独創的な方法はたくさんありますが、これまでのところXNUMXつの絶対確実な方法があります。 これは比較的新しいPHP関数であり、 MYSQLに存在する関数をテキスト文字列から抽出しますつまり、フォームデータをデータベースに送信する前に、そのデータにMYSQL関数がないことを確認します。これにより、 今のところ誰にでもできる機能.

使用する関数は次のとおりです。

mysql_real_escape_string();

それを使用するには、単に 分析するテキスト文字列を括弧内に挿入します。 例えば、

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

詳細はこちら| Zebraフォーム:フォーム用の特別なPHPライブラリ


コメントを最初に

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。