SQL Enjeksiyonu Formlar aracılığıyla veritabanımızla oynamayı başaran bir hack. Bilgisayar korsanının formlar böylece veritabanımızda beklenmedik eylemler gerçekleştirirler. Bu yöntemle veritabanımızı tamamen silebilir, belirli bir kullanıcıya yönetici hakları atayabilir veya kendi web sitemize erişimi kaldırabilirsiniz. Ayrıca sayfamız bir mağaza ise, bilgisayar korsanı adreslere ve banka hesaplarına erişebilir, gerçekten tehlikeli bir şey.
Korkunç SQL Injection'dan kaçınmanın birçok zekice yolu var, ancak şimdiye kadar kusursuz bir yöntem var. Bu, nispeten yeni bir PHP işlevidir. MYSQL'de bulunan herhangi bir işlevi bir metin dizesinden çıkarıryani, form verilerini veritabanına göndermeden önce, bu verilerde MYSQL işlevi olmadığını kontrol eder ve bu şu an için kusursuz işlev.
Kullanılacak işlev:
mysql_real_escape_string();
Kullanmak için basitçe analiz edilecek metin dizesini parantez içine yerleştiriniz. Örneğin:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Daha fazla bilgi | Zebra Formu: Formlar için özel PHP kitaplığı