Ang SQL injection ay isang pag-hack na namamahala upang i-play sa aming database sa pamamagitan ng mga form. Sabihin nating niloko ng hacker ang mga form upang magsagawa sila ng hindi inaasahang mga pagkilos sa aming database. Sa pamamaraang ito maaari mong ganap na matanggal ang aming database, magtalaga ng mga karapatan ng administrator sa isang tiyak na gumagamit o alisin ang pag-access sa aming sariling website. Gayundin, kung ang aming pahina ay isang tindahan, ang hacker ay maaaring magkaroon ng pag-access sa mga address at bank account, isang bagay na talagang mapanganib.
Maraming mga mapanlikha na paraan upang maiwasan ang kakila-kilabot na SQL Powder, subalit mayroong isang walang palya na pamamaraan sa ngayon. Ito ay isang medyo bagong pagpapaandar ng PHP na kunin ang anumang pagpapaandar na mayroon sa MYSQL mula sa isang text string, iyon ay, bago ipadala ang data ng form sa database, sinusuri nito na walang pagpapaandar ng MYSQL sa data na iyon, na ginagawa ito walang palya function para sa sandali.
Ang pagpapaandar na gagamitin ay:
mysql_real_escape_string();
Upang magamit ito, simple ipasok ang string ng teksto upang masuri sa loob ng panaklong. Halimbawa:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Higit pang impormasyon | Form ng Zebra: Espesyal na PHP library para sa mga form