SQL注入是 通过表格设法与我们的数据库一起玩的黑客。 假设骇客欺骗了 形式 以便他们在我们的数据库中执行意外操作。 使用这种方法,您可以完全删除我们的数据库,将管理员权限分配给特定用户或删除对我们自己网站的访问。 另外,如果我们的页面是一家商店, 黑客可以访问地址和银行帐户,确实很危险。
有很多巧妙的方法可以避免可怕的SQL注入,但是到目前为止,有一种万无一失的方法。 这是一个相对较新的PHP函数, 从文本字符串中提取MYSQL中存在的任何函数,即在将表单数据发送到数据库之前,它会检查该数据中是否没有MYSQL函数,这使得 目前具有万无一失的功能.
使用的功能是:
mysql_real_escape_string();
要使用它,只需 在括号内插入要分析的文本字符串。 例如:
$_POST['usuario']=mysql_real_escape_string($_POST['usuario']); $_POST['nombre']=mysql_real_escape_string($_POST['nombre']); $_POST['apellido']=mysql_real_escape_string($_POST['apellido']); $_POST['email']=mysql_real_escape_string($_POST['email']);
了解更多| Zebra表单:表单的特殊PHP库