Injeksioni SQL është një hack që arrin të luajë me bazën tonë të të dhënave përmes formularëve. Le të themi se hakeri mashtron format në mënyrë që ata të kryejnë veprime të papritura në bazën tonë të të dhënave. Me këtë metodë, ju mund të fshini bazën tonë të të dhënave plotësisht, t'i caktoni të drejtat e administratorit një përdoruesi të caktuar ose të hiqni hyrjen në faqen tonë të internetit. Gjithashtu, nëse faqja jonë është një dyqan, hakeri mund të ketë qasje në adresat dhe llogaritë bankare, diçka vërtet e rrezikshme.
Ka shumë mënyra të zgjuara për të shmangur Injeksionin e tmerrshëm SQL, megjithatë ka një metodë të pagabueshme deri më tani. Ky është një funksion relativisht i ri PHP që nxjerr nga një varg teksti çdo funksion që ekziston në MYSQL, dmth, para se të dërgoni të dhënat e formularit në bazën e të dhënave, kontrollon që nuk ka ndonjë funksion MYSQL në ato të dhëna, gjë që e bën këtë funksion i pagabueshëm për momentin.
Funksioni për t'u përdorur është:
mysql_real_escape_string();
Për ta përdorur atë, thjesht futni vargun e tekstit që do të analizohet brenda kllapës. Për shembull:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Mëso më shumë | Forma Zebra: Biblioteka speciale PHP për format