Venkite „SQL Injection“ paprastu triuku

SQL įpurškimas

SQL įpurškimas yra įsilaužimas, kuris sugeba žaisti su mūsų duomenų baze per formas. Tarkime, įsilaužėlis apgauna formos kad jie atliktų netikėtus veiksmus mūsų duomenų bazėje. Taikydami šį metodą galite visiškai ištrinti mūsų duomenų bazę, priskirti administratoriaus teises tam tikram vartotojui arba panaikinti prieigą prie mūsų pačių svetainės. Be to, jei mūsų puslapis yra parduotuvė, įsilaužėlis galėjo turėti prieigą prie adresų ir banko sąskaitų, kažkas tikrai pavojingo.

Yra daug išradingų būdų, kaip išvengti bauginamo „SQL Injection“, tačiau iki šiol yra vienas neprotingas metodas. Tai yra gana nauja PHP funkcija, kuri ištraukia iš teksto eilutės bet kokią funkciją, esančią MYSQL, tai yra, prieš siųsdamas formos duomenis į duomenų bazę, jis patikrina, ar tuose duomenyse nėra MYSQL funkcijos, todėl tai neapdairi funkcija.

Naudojama funkcija yra:

mysql_real_escape_string();

Norėdami jį naudoti, paprasčiausiai skliausteliuose įterpkite analizuojamą teksto eilutę. Por ejemplo:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Sužinokite daugiau | „Zebra Form“: speciali PHP biblioteka formoms


Straipsnio turinys atitinka mūsų principus redakcijos etika. Norėdami pranešti apie klaidą, spustelėkite čia.

Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas.

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.