SQL -injecties zijn aanvallen uit tegen een website die gericht zijn op de website van de SQL-database uitgevoerd . Een groot aantal websites maken gebruik van PHP om te communiceren met hun databases , en er zijn een paar manieren om te beschermen tegen SQL -injecties door het juiste gebruik van PHP . Gebruik MySQL Escape String De " mysql_escape_string ( ) " functie neemt een string inbreng in PHP en voert de string met een SQL speciale tekens merkte op , zodat ze niet kunnen schadelijk zijn voor de database. Een voorbeeld van het gebruik ervan is als volgt : $ newstring = mysql_escape_string ( $ inputString ) ; Verwijder enkele aanhalingstekens Enkele quotes zijn personages in SQL die duiden het begin en einde van de velden , en kan de eerste stap naar een SQL- injectie aanval. Haal ze uit de input string als volgt : $ newstring = str_replace ( $ inputString , " " " , " " ) ; Put een Escape karakter in Front van speciale tekens Gebruik de " str_replace ( ) " functie om slashes in de voorkant van speciale tekens te zetten . Wanneer een schuine streep is in de voorkant van een speciaal teken , zal SQL het bijzondere karakter te behandelen als gewone tekst . Zo zou je de volgende code gebruiken om een schuine streep in de voorkant van een puntkomma : $ newstring = str_replace ( $ inputString , "," , " \\ ; " ) ; Gebruik Mysql Real Escape String de " mysql_real_escape_string ( ) " functie is vergelijkbaar met de functie " mysql_escape_string ( ) " , behalve dat het wordt gebruikt op binaire data . Het gebruik van deze functie is identiek aan de mysql_escape_string ( ) -functie , zoals zo : $ newstring = mysql_real_escape_string ( $ inputString ) ;
|