SQL Injection je hack, který dokáže hrát s naší databází prostřednictvím formulářů. Řekněme, že hacker triky formuláře aby v naší databázi provedli neočekávané akce. Touto metodou můžete zcela vymazat naši databázi, přiřadit práva správce určitému uživateli nebo odebrat přístup na naši vlastní webovou stránku. Pokud je naše stránka obchodem, hacker mohl mít přístup k adresám a bankovním účtůmněco opravdu nebezpečného.
Existuje mnoho důmyslných způsobů, jak se vyhnout obávanému SQL Injection, zatím však existuje jedna spolehlivá metoda. Toto je relativně nová funkce PHP extrahuje z textového řetězce jakoukoli funkci, která existuje v MYSQL, tj. před odesláním dat formuláře do databáze zkontroluje, zda v těchto datech není žádná funkce MYSQL, což spolehlivá funkce pro tuto chvíli.
Funkce, která se má použít, je:
mysql_real_escape_string();
Chcete-li jej použít, jednoduše vložte textový řetězec, který má být analyzován, do závorky. Například:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Více informací | Zebra Form: Speciální knihovna PHP pro formuláře