SQL-инъекция хак, который умеет играть с нашей базой данных через формы. Скажем, хакер обманывает формы чтобы они выполняли неожиданные действия в нашей базе данных. С помощью этого метода вы можете полностью удалить нашу базу данных, назначить права администратора определенному пользователю или закрыть доступ к нашему собственному веб-сайту. Кроме того, если наша страница является магазином, хакер мог иметь доступ к адресам и банковским счетам, что-то действительно опасное.
Есть много гениальных способов избежать ужасной SQL-инъекции, однако пока есть один надежный метод. Это относительно новая функция PHP, которая извлекает из текстовой строки любую функцию, которая существует в MYSQL, то есть перед отправкой данных формы в базу данных он проверяет, нет ли в этих данных функции MYSQL, что делает это надежная функция на данный момент.
Используемая функция:
mysql_real_escape_string();
Чтобы использовать это, просто вставьте текстовую строку для анализа в круглые скобки, Например:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Узнать подробнее | Zebra Form: специальная библиотека PHP для форм