SQL Injection este un hack care reușește să se joace cu baza noastră de date prin intermediul formularelor. Să presupunem că hackerul păcălește formulare astfel încât să execute acțiuni neașteptate în baza noastră de date. Cu această metodă, puteți șterge complet baza de date, puteți atribui drepturi de administrator unui anumit utilizator sau puteți elimina accesul la propriul nostru site web. De asemenea, dacă pagina noastră este un magazin, hackerul ar putea avea acces la adrese și conturi bancare, ceva cu adevărat periculos.
Există multe modalități ingenioase de a evita temuta injecție SQL, totuși există o metodă infailibilă până acum. Aceasta este o funcție PHP relativ nouă care extrage dintr-un șir de text orice funcție care există în MYSQL, adică înainte de a trimite datele formularului în baza de date, verifică dacă nu există o funcție MYSQL în acele date, ceea ce face ca acest lucru să fie funcție infailibilă pentru moment.
Funcția de utilizat este:
mysql_real_escape_string();
Pentru a-l folosi, pur și simplu introduceți șirul de text care urmează să fie analizat în paranteză. De exemplu:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Aflați mai multe | Zebra Form: bibliotecă PHP specială pentru formulare