Undvik SQL Injection med ett enkelt trick

SQL-injektion

SQL Injection är ett hack som lyckas spela med vår databas genom formulär. Låt oss säga att hackaren lurar former så att de utför oväntade åtgärder i vår databas. Med denna metod kan du radera vår databas helt, tilldela administratörsrättigheter till en viss användare eller ta bort åtkomst till vår egen webbplats. Om vår sida är en butik, hackaren kan ha tillgång till adresser och bankkonton, något riktigt farligt.

Det finns många geniala sätt att undvika den fruktade SQL-injektionen, men det finns hittills en idiotsäker metod. Detta är en relativt ny PHP-funktion som extraherar från en textsträng alla funktioner som finns i MYSQL, det vill säga innan den skickar formulärdata till databasen, kontrollerar den att det inte finns någon MYSQL-funktion i dessa data, vilket gör detta idiotsäker funktion för tillfället.

Funktionen som ska användas är:

mysql_real_escape_string();

För att använda det, helt enkelt infoga textsträngen som ska analyseras inom parentes. Till exempel:

$_POST['usuario']=mysql_real_escape_string($_POST['usuario']);
$_POST['nombre']=mysql_real_escape_string($_POST['nombre']);
$_POST['apellido']=mysql_real_escape_string($_POST['apellido']);
$_POST['email']=mysql_real_escape_string($_POST['email']);

Mer information | Zebra Form: Speciellt PHP-bibliotek för formulär


Bli först att kommentera

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.