|
injections SQL sont les attaques menées contre un site qui cible de base de données SQL du site . Un grand nombre de sites Web utilisent PHP pour communiquer avec leurs bases de données , et il ya quelques façons de protéger contre les injections SQL grâce à l'utilisation appropriée de PHP. Utilisez MySQL échappement de caractères
" mysql_escape_string ()" fonction prend une entrée de chaîne en PHP et renvoie la chaîne avec tous les caractères spéciaux SQL commentée de sorte qu'ils ne peuvent pas nuire à la base de données. Un exemple de son utilisation est comme suit :
$ nouvelleChaine = mysql_escape_string ($ inputString ) ;
Supprimez les guillemets simples
guillemets simples caractères SQL qui désignent le début et la fin des champs , et peut être la première étape vers une attaque par injection SQL. Retirez-les de la chaîne d'entrée comme suit :
$ nouvelleChaine = str_replace ($ inputString , "'", "");
Mettez un Escape caractère avant de caractères spéciaux
Utilisez le " str_replace ()" fonction de mettre des barres en face de caractères spéciaux . Lorsqu'une barre est en face d'un caractère spécial , SQL traitera le caractère spécial comme du texte ordinaire. Par exemple , vous pouvez utiliser le code suivant pour mettre un slash devant des virgules :
$ nouvelleChaine = str_replace ($ inputString , " ; ", " \\; ");
utiliser MySQL véritable évasion cordes
" mysql_real_escape_string ()" fonction est similaire à la fonction " mysql_escape_string ()", sauf qu'il est utilisé sur des données binaires . L'utilisation de cette fonction est identique à la fonction mysql_escape_string (), comme ceci:
$ nouvelleChaine = mysql_real_escape_string ($ inputString ) ;
|
