SQL-injectie is een hack die via formulieren met onze database speelt Laten we zeggen dat de hacker het vormen zodat ze onverwachte acties uitvoeren in onze database. Met deze methode kunt u onze database volledig verwijderen, beheerdersrechten toekennen aan een bepaalde gebruiker of de toegang tot onze eigen website intrekken. Ook als onze pagina een winkel is, de hacker zou toegang kunnen hebben tot adressen en bankrekeningen, iets heel gevaarlijks.
Er zijn veel ingenieuze manieren om de gevreesde SQL-injectie te vermijden, maar er is tot nu toe een waterdichte methode. Dit is een relatief nieuwe PHP-functie die haalt uit een tekstreeks elke functie uit MYSQL, dat wil zeggen, voordat de formuliergegevens naar de database worden verzonden, wordt gecontroleerd of er geen MYSQL-functie in die gegevens zit, waardoor dit waterdichte functie op dit moment.
De te gebruiken functie is:
mysql_real_escape_string();
Om het gewoon te gebruiken plaats de te analyseren tekstreeks tussen haakjes. Bijvoorbeeld:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Meer informatie | Zebra Form: speciale PHP-bibliotheek voor formulieren