injeções SQL são ataques realizados contra um site que visam banco de dados SQL do site. Um grande número de sites de usar o PHP para se comunicar com seus bancos de dados , e há algumas maneiras de se proteger contra injeções de SQL através do uso correto de PHP. Use MySQL Fuja de Cordas

O " mysql_escape_string ()" função recebe uma string de entrada em PHP e gera a string com todos os caracteres especiais SQL comentadas para que eles não podem prejudicar o banco de dados. Um exemplo do seu uso é a seguinte:

$ newString = mysql_escape_string ( $ inputString );
Remover Aspas Simples

aspas simples são personagens de SQL que denotam o início eo fim do campo, e pode ser o primeiro passo rumo a um ataque de injeção de SQL. Retire -os da cadeia de entrada da seguinte forma:

$ newString = str_replace ( $ inputString ", " "," ");
Coloque uma Fuga Caráter na frente de caracteres especiais

Use a função " str_replace ()" para colocar barras na frente de caracteres especiais. Quando uma barra está na frente de um carácter especial , o SQL irá tratar o caráter especial como texto comum. Por exemplo, você poderia usar o seguinte código para colocar uma barra na frente de qualquer ponto e vírgula :

$ newString = str_replace ( $ inputString , "; ", " \\; ");

usar Mysql real Fuga de Cordas

o " mysql_real_escape_string ()" função é semelhante ao " mysql_escape_string ()" função , exceto que ele é usado em dados binários . O uso desta função é idêntica à função mysql_escape_string () , assim:

$ newString = mysql_real_escape_string ( $ inputString );