SQL Injection är ett hack som lyckas spela med vår databas genom formulär. Låt oss säga att hackaren lurar former så att de utför oväntade åtgärder i vår databas. Med denna metod kan du radera vår databas helt, tilldela administratörsrättigheter till en viss användare eller ta bort åtkomst till vår egen webbplats. Om vår sida är en butik, hackaren kan ha tillgång till adresser och bankkonton, något riktigt farligt.
Det finns många geniala sätt att undvika den fruktade SQL-injektionen, men det finns hittills en idiotsäker metod. Detta är en relativt ny PHP-funktion som extraherar från en textsträng alla funktioner som finns i MYSQL, det vill säga innan den skickar formulärdata till databasen, kontrollerar den att det inte finns någon MYSQL-funktion i dessa data, vilket gör detta idiotsäker funktion för tillfället.
Funktionen som ska användas är:
mysql_real_escape_string();
För att använda det, helt enkelt infoga textsträngen som ska analyseras inom parentes. Till exempel:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Mer information | Zebra Form: Speciellt PHP-bibliotek för formulär