SQL Injection ir kapāt, kas izdodas spēlēt ar mūsu datu bāzi, izmantojot veidlapas. Pieņemsim, ka hakeris maldina formas veikt negaidītas darbības mūsu datubāzē. Izmantojot šo metodi, jūs varat pilnībā izdzēst mūsu datubāzi, piešķirt administratora tiesības noteiktam lietotājam vai noņemt piekļuvi mūsu pašu vietnei. Turklāt, ja mūsu lapa ir veikals, hakerim varētu būt piekļuve adresēm un bankas kontiem, kaut kas patiešām bīstams.
Ir daudz atjautīgu veidu, kā izvairīties no briesmīgās SQL injekcijas, tomēr līdz šim ir viena neprātīga metode. Šī ir salīdzinoši jauna PHP funkcija, kas no teksta virknes izvelciet jebkuru funkciju MYSQL, tas ir, pirms veidlapas datu nosūtīšanas uz datu bāzi, tā pārbauda, vai šajos datos nav MYSQL funkcijas, kas padara šo šobrīd droša funkcija.
Izmantojamā funkcija ir:
mysql_real_escape_string();
Lai to izmantotu, vienkārši ievietojiet iekavās analizējamo teksta virkni. Piemēram:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
Vairāk informācijas Zebra forma: Īpaša PHP bibliotēka veidlapām