SQL in'ektsiyasi bizning ma'lumotlar bazamiz bilan shakllar orqali o'ynashga muvaffaq bo'lgan hack. Aytaylik, xaker aldaydi shakllari ma'lumotlar bazamizda kutilmagan harakatlarni amalga oshirishlari uchun. Ushbu usul yordamida siz bizning ma'lumotlar bazamizni to'liq o'chirib tashlashingiz, ma'mur huquqlarini ma'lum bir foydalanuvchiga berishingiz yoki o'z veb-saytimizga kirishni olib tashlashingiz mumkin. Shuningdek, agar bizning sahifamiz do'kon bo'lsa, xaker manzillar va bank hisob raqamlariga kirish huquqiga ega bo'lishi mumkin, haqiqatan ham xavfli narsa.
Dahshatli SQL in'ektsiyasini oldini olish uchun juda ko'p aqlli usullar mavjud, ammo hozirgacha bitta aqldan ozish usuli mavjud. Bu nisbatan yangi PHP funktsiyasi matn satridan MYSQL-da mavjud bo'lgan har qanday funktsiyani chiqarib oling, ya'ni ma'lumotlar bazasiga ariza ma'lumotlarini yuborishdan oldin, ushbu ma'lumotlarda MYSQL funktsiyasi yo'qligini tekshiradi, bu esa buni amalga oshiradi lahza uchun ahmoqona funktsiya.
Foydalanadigan funktsiya:
mysql_real_escape_string();
Buni ishlatish uchun oddiygina qavs ichiga tahlil qilinadigan matn satrini joylashtiring. Masalan:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Qo'shimcha ma'lumot | Zopak shakl: Formalar uchun maxsus PHP kutubxonasi
Birinchi bo'lib izohlang