SQL Injection คือ แฮ็คที่จัดการเพื่อเล่นกับฐานข้อมูลของเราผ่านแบบฟอร์ม. สมมติว่าแฮ็กเกอร์ใช้เทคนิค แบบฟอร์ม เพื่อให้ดำเนินการกระทำที่ไม่คาดคิดในฐานข้อมูลของเรา ด้วยวิธีนี้คุณสามารถลบฐานข้อมูลของเราได้อย่างสมบูรณ์กำหนดสิทธิ์ของผู้ดูแลระบบให้กับผู้ใช้บางรายหรือลบการเข้าถึงเว็บไซต์ของเราเอง นอกจากนี้หากเพจของเราเป็นร้านค้า แฮ็กเกอร์สามารถเข้าถึงที่อยู่และบัญชีธนาคารได้สิ่งที่อันตรายจริงๆ
มีหลายวิธีที่ชาญฉลาดในการหลีกเลี่ยงการฉีด SQL ที่น่ากลัวอย่างไรก็ตามยังมีวิธีการหนึ่งที่ไม่สามารถเข้าใจผิดได้ นี่เป็นฟังก์ชัน PHP ที่ค่อนข้างใหม่ แยกจากสตริงข้อความฟังก์ชันใด ๆ ที่มีอยู่ใน MYSQLนั่นคือก่อนที่จะส่งข้อมูลแบบฟอร์มไปยังฐานข้อมูลจะตรวจสอบว่าไม่มีฟังก์ชัน MYSQL ในข้อมูลนั้นซึ่งทำให้ ฟังก์ชันที่เข้าใจผิดได้ในขณะนี้.
ฟังก์ชั่นที่จะใช้คือ:
mysql_real_escape_string();
ใช้งานได้ง่ายๆ แทรกสตริงข้อความที่จะวิเคราะห์ภายในวงเล็บ. ตัวอย่างเช่น
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
ข้อมูลเพิ่มเติม | Zebra Form: ไลบรารี PHP พิเศษสำหรับแบบฟอร์ม