SQL injection è un tipo di hack che lascia il dominio vulnerabili al furto di dati. In alcuni casi, l'hacker è in grado di accedere al file system del server o prendere il controllo del server di database. È necessario utilizzare la funzione PHP "mysql_escape_string" sulle vostre domande di pagina Web per la protezione contro SQL injection. Si applica la funzione per ogni variabile stringa di query, che converte virgolette singole utilizzati per applicare l'iniezione SQL hack per doppi apici.

istruzione

1 Fare clic destro sul file PHP che interroga il server di database e fare clic su "Apri con". Clicca il tuo editor di PHP nella lista dei programmi. La maggior parte dei siti web hanno più di un file PHP che interroga un server, quindi è necessario eseguire le modifiche al codice con ogni file PHP.

2 Individuare la variabile stringa di query che imposta la query SQL. Per esempio, la seguente variabile stringa di query recupera un elenco di ordini per un cliente:

$ Query = "select nome, ORDERNUMBER dagli ordini dove CustomerID =". identificativo del cliente

3 Applicare la funzione "mysql_escape_string" alla variabile stringa di query. Inserire il codice seguente direttamente dopo la definizione stringa di query:

$ Query = mysql_escape_string ($ query);

Il codice di cui sopra sfugge a qualsiasi tentativo di SQL injection, in modo che quando la query viene inviata al server, l'hacker è in grado di eseguire codice non autorizzato.