SQL Injection je hack, ktorý dokáže hrať s našou databázou prostredníctvom formulárov. Povedzme, že hacker triky formy aby mohli vykonať neočakávané akcie v našej databáze. Pomocou tejto metódy môžete úplne vymazať našu databázu, prideliť administrátorské práva určitému používateľovi alebo odobrať prístup na našu vlastnú webovú stránku. Ak je naša stránka obchod, hacker mohol mať prístup k adresám a bankovým účtom, niečo skutočne nebezpečné.
Existuje mnoho dômyselných spôsobov, ako sa vyhnúť obávanému SQL Injection, zatiaľ však existuje jedna spoľahlivá metóda. Toto je relatívne nová funkcia PHP, ktorá extrahuje z textového reťazca každú funkciu, ktorá existuje v MYSQL, tj pred odoslaním údajov formulára do databázy skontroluje, či v týchto údajoch nie je žiadna funkcia MYSQL, čo spoľahlivá funkcia pre túto chvíľu.
Používaná funkcia je:
mysql_real_escape_string();
Ak ho chcete použiť, jednoducho vložte textový reťazec, ktorý sa má analyzovať, do zátvorky, Napríklad:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Viac informácií Zebra Form: Špeciálna knižnica PHP pre formuláre