SQL -injeksjoner er angrepene mot et nettsted som retter seg mot nettstedets SQL database. Et stort antall nettsteder bruker PHP til å kommunisere med sine databaser , og det er noen måter å beskytte mot SQL- injeksjoner gjennom riktig bruk av PHP. Bruk MySQL Escape String

" mysql_escape_string ( )" -funksjonen tar en streng innspill i PHP og utganger strengen med noen SQL spesialtegn kommentert ut slik at de ikke kan skade databasen. Et eksempel på bruken er som følger : en

$ newString = mysql_escape_string ( $ inputString ) ;
Fjern apostrof

Enkle anførselstegn er tegn i SQL som betegner starten og slutten av felt , og kan være første skritt mot en SQL-injeksjon angrep. Fjern dem fra inndatastrengen som følger : en

$ newString = str_replace ( $ inputString : " ", " ");
Sett en Escape tegnet foran spesialtegn

Bruk " str_replace ( ) "-funksjonen til å sette skråstreker foran spesialtegn. Når en skråstrek er foran en spesiell karakter, vil SQL behandle spesialtegnet som vanlig tekst . For eksempel kan du bruke følgende kode for å sette en skråstrek foran eventuelle semikolon : en

$ newString = str_replace ( $ inputString , "," , " \\; ");

bruk Mysql Fast Escape String

" mysql_real_escape_string ( ) "-funksjonen er lik den " mysql_escape_string ( ) "-funksjonen , bortsett fra at det brukes på binære data . Bruken av denne funksjonen er identisk med mysql_escape_string ( )-funksjonen , som så : en

$ newString = mysql_real_escape_string ( $ inputString ) ;