SQL Injection adalah hack yang berjaya bermain dengan pangkalan data kami melalui borang. Katakan penggodam menipu bentuk sehingga mereka melakukan tindakan yang tidak dijangka di pangkalan data kami. Dengan kaedah ini anda dapat menghapus pangkalan data kami sepenuhnya, memberikan hak pentadbir kepada pengguna tertentu atau membuang akses ke laman web kami sendiri. Sekiranya halaman kami adalah kedai, penggodam boleh mempunyai akses ke alamat dan akaun bank, sesuatu yang sangat berbahaya.
Terdapat banyak cara bijak untuk mengelakkan SQL Injection yang ditakuti, namun sejauh ini terdapat satu kaedah yang sangat mudah. Ini adalah fungsi PHP yang agak baru yang mengekstrak dari rentetan teks sebarang fungsi yang ada di MYSQL, yaitu, sebelum mengirim data formulir ke pangkalan data, memeriksa apakah tidak ada fungsi MYSQL dalam data tersebut, yang membuat ini fungsi yang mudah rosak buat masa ini.
Fungsi untuk digunakan adalah:
mysql_real_escape_string();
Untuk menggunakannya, secara sederhana masukkan rentetan teks yang akan dianalisis di dalam kurungan. Sebagai contoh:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Ketahui lebih lanjut | Bentuk Zebra: Perpustakaan PHP khas untuk borang