SQL įpurškimas yra įsilaužimas, kuris sugeba žaisti su mūsų duomenų baze per formas. Tarkime, įsilaužėlis apgauna formos kad jie atliktų netikėtus veiksmus mūsų duomenų bazėje. Taikydami šį metodą galite visiškai ištrinti mūsų duomenų bazę, priskirti administratoriaus teises tam tikram vartotojui arba panaikinti prieigą prie mūsų pačių svetainės. Be to, jei mūsų puslapis yra parduotuvė, įsilaužėlis galėjo turėti prieigą prie adresų ir banko sąskaitų, kažkas tikrai pavojingo.
Yra daug išradingų būdų, kaip išvengti bauginamo „SQL Injection“, tačiau iki šiol yra vienas neprotingas metodas. Tai yra gana nauja PHP funkcija, kuri ištraukia iš teksto eilutės bet kokią funkciją, esančią MYSQL, tai yra, prieš siųsdamas formos duomenis į duomenų bazę, jis patikrina, ar tuose duomenyse nėra MYSQL funkcijos, todėl tai neapdairi funkcija.
Naudojama funkcija yra:
mysql_real_escape_string();
Norėdami jį naudoti, paprasčiausiai skliausteliuose įterpkite analizuojamą teksto eilutę. Por ejemplo:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Sužinokite daugiau | „Zebra Form“: speciali PHP biblioteka formoms