injeções SQL são ataques realizados contra um site que visam banco de dados SQL do site. Um grande número de sites de usar o PHP para se comunicar com seus bancos de dados , e há algumas maneiras de se proteger contra injeções de SQL através do uso correto de PHP. Use MySQL Fuja de Cordas
O " mysql_escape_string ()" função recebe uma string de entrada em PHP e gera a string com todos os caracteres especiais SQL comentadas para que eles não podem prejudicar o banco de dados. Um exemplo do seu uso é a seguinte:
$ newString = mysql_escape_string ( $ inputString );
Remover Aspas Simples
aspas simples são personagens de SQL que denotam o início eo fim do campo, e pode ser o primeiro passo rumo a um ataque de injeção de SQL. Retire -os da cadeia de entrada da seguinte forma:
$ newString = str_replace ( $ inputString ", " "," ");
Coloque uma Fuga Caráter na frente de caracteres especiais
Use a função " str_replace ()" para colocar barras na frente de caracteres especiais. Quando uma barra está na frente de um carácter especial , o SQL irá tratar o caráter especial como texto comum. Por exemplo, você poderia usar o seguinte código para colocar uma barra na frente de qualquer ponto e vírgula :
$ newString = str_replace ( $ inputString , "; ", " \\; ");
usar Mysql real Fuga de Cordas
o " mysql_real_escape_string ()" função é semelhante ao " mysql_escape_string ()" função , exceto que ele é usado em dados binários . O uso desta função é idêntica à função mysql_escape_string () , assim:
$ newString = mysql_real_escape_string ( $ inputString );