SQL注入是 通過表格設法與我們的數據庫一起玩的黑客。 假設駭客欺騙了 形式 以便他們在我們的數據庫中執行意外操作。 使用這種方法,您可以完全刪除我們的數據庫,將管理員權限分配給特定用戶或刪除對我們自己網站的訪問。 另外,如果我們的頁面是一家商店, 黑客可以訪問地址和銀行帳戶,確實很危險。
有很多巧妙的方法可以避免可怕的SQL注入,但是到目前為止,有一種萬無一失的方法。 這是一個相對較新的PHP函數, 從文本字符串中提取MYSQL中存在的任何函數,即在將表單數據發送到數據庫之前,它會檢查該數據中是否沒有MYSQL函數,這使得 目前具有萬無一失的功能.
使用的功能是:
mysql_real_escape_string();
要使用它,只需 在括號內插入要分析的文本字符串。 例如:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
了解更多| Zebra表單:表單的特殊PHP庫