Избегайте внедрения SQL с помощью простого трюка

SQL-инъекция

SQL-инъекция хак, который умеет играть с нашей базой данных через формы. Скажем, хакер обманывает формы чтобы они выполняли неожиданные действия в нашей базе данных. С помощью этого метода вы можете полностью удалить нашу базу данных, назначить права администратора определенному пользователю или закрыть доступ к нашему собственному веб-сайту. Кроме того, если наша страница является магазином, хакер мог иметь доступ к адресам и банковским счетам, что-то действительно опасное.

Есть много гениальных способов избежать ужасной SQL-инъекции, однако пока есть один надежный метод. Это относительно новая функция PHP, которая извлекает из текстовой строки любую функцию, которая существует в MYSQL, то есть перед отправкой данных формы в базу данных он проверяет, нет ли в этих данных функции MYSQL, что делает это надежная функция на данный момент.

Используемая функция:

mysql_real_escape_string();

Чтобы использовать это, просто вставьте текстовую строку для анализа в круглые скобки, Например:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Узнать подробнее | Zebra Form: специальная библиотека PHP для форм


Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.