Cómo prevenir una inyección de SQL desde un sitio web

la inyección de SQL es un tipo de truco que sale de su dominio vulnerables al robo de datos. En algunos casos, el hacker es capaz de obtener acceso al sistema de archivos del servidor o tomar el control del servidor de base de datos. Debe utilizar la función de PHP "mysql_escape_string" en sus consultas de las páginas web para proteger contra la inyección de SQL. Aplicar la función a cada variable de cadena de consulta, que convierte los caracteres de comillas simples se utilizan para aplicar la inyección SQL truco para comillas dobles.

Instrucciones

1 Haga clic en el archivo PHP que realiza consultas a su servidor de base de datos y haga clic en "Abrir con". Haga clic en su editor de PHP en la lista de programas. La mayoría de los sitios web tienen más de un archivo PHP que consulta un servidor, por lo que deben realizar los cambios en el código con cada archivo PHP.

2 Busque la variable de cadena de consulta que establece la consulta SQL. Por ejemplo, la siguiente variable de cadena de consulta recupera una lista de pedidos de un cliente:

$ Query = "select nombre, número de pedido de pedidos en los que idcliente =". Identificación del cliente

3 Aplicar la función "mysql_escape_string" a la variable de cadena de consulta. Coloque el código siguiente inmediatamente después de la definición cadena de consulta:

$ Consulta = mysql_escape_string ($ consulta);

El código anterior se escapa a cualquier intento de inyección SQL, por lo que cuando la consulta se envía al servidor, el hacker no es capaz de ejecutar código no autorizado.