SQL Injection je kramp, ki se z obrazci uspe poigrati z našo bazo podatkov. Recimo, da heker izigra obrazci tako da izvajajo nepričakovana dejanja v naši zbirki podatkov. S to metodo lahko popolnoma izbrišete našo bazo podatkov, dodelite skrbniške pravice določenemu uporabniku ali odstranite dostop do lastnega spletnega mesta. Če je naša stran trgovina, heker bi lahko imel dostop do naslovov in bančnih računov, nekaj res nevarnega.
Obstaja veliko iznajdljivih načinov, kako se izogniti strašljivemu vbrizganju SQL, vendar zaenkrat obstaja ena varna metoda. To je razmeroma nova funkcija PHP, ki iz besedilnega niza izvleče katero koli funkcijo, ki obstaja v MYSQL, to pomeni, da pred pošiljanjem podatkov obrazca v bazo podatkov preveri, ali v teh podatkih ni funkcije MYSQL, zaradi česar je trenutno varna funkcija.
Funkcija, ki jo je treba uporabiti:
mysql_real_escape_string();
Če ga preprosto uporabite v oklepaje vstavite besedilni niz, ki ga želite analizirati. Na primer:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Več informacij | Zebra Form: posebna PHP knjižnica za obrazce