Введення SQL - це хакер, якому вдається грати з нашою базою даних за допомогою форм. Скажімо, хакер обманює форми виконувати несподівані дії в нашій базі даних. За допомогою цього методу ви можете повністю видалити нашу базу даних, призначити права адміністратора певному користувачеві або скасувати доступ до нашого власного веб-сайту. Крім того, якщо наша сторінка є магазином, хакер міг мати доступ до адрес та банківських рахунків, щось справді небезпечне.
Є безліч хитромудрих способів уникнути страшної ін’єкції SQL, проте поки що існує один надійний метод. Це відносно нова функція PHP, яка витягує з текстового рядка будь-яку функцію, яка існує в MYSQL, тобто перед відправкою даних форми до бази даних, він перевіряє відсутність функції MYSQL у цих даних, що робить це бездоганна функція на даний момент.
Використовувана функція:
mysql_real_escape_string();
Щоб використовувати його, просто вставити текстовий рядок для аналізу всередину дужок, Наприклад:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Дізнатися детальніше | Zebra Form: Спеціальна бібліотека PHP для форм