SQL injection è un tipo di hack che lascia vulnerabili al furto di dati del dominio. In alcuni casi, l'hacker è in grado di accedere al file system del server o prendere il controllo del server database. È necessario utilizzare la funzione di "mysql_escape_string" PHP sulle tue query di pagina Web per la protezione contro attacchi SQL injection. Si applica la funzione a ogni variabile di stringa di query, che converte i caratteri di virgolette utilizzati per applicare l'hack di iniezione SQL tra virgolette doppie.

Istruzioni

1

Pulsante destro del mouse il file PHP che interroga il server di database e fare clic su "Apri con". Fare clic su editor di PHP nell'elenco dei programmi. Maggior parte dei siti Web hanno più di un file PHP che interroga un server, quindi è necessario eseguire il codice cambia con ogni file PHP.

2

Individuare la variabile di stringa di query che consente di impostare la query SQL. Per esempio, la variabile di stringa di query seguente recupera un elenco di ordini per un cliente:

$query = "select nome, ordernumber dagli ordini dove customerid =". CustomerID

3

Applicare la funzione "mysql_escape_string" alla variabile di stringa di query. Inserire il codice seguente direttamente dopo la definizione della stringa di query:

$query = mysql_escape_string($query);

Il codice sopra sfugge qualsiasi iniezione SQL tenta, così quando la query viene inviata al server, l'hacker è in grado di eseguire codice non autorizzato.