Cum de a evita o injecție SQL în PHP
Acest articol vă va învăța cum să evitați atacurile de tip SQL folosind instrucțiunile pregătite de PHP. Injecția SQL este una dintre cele mai frecvente tipuri de vulnerabilități întâlnite în aplicațiile Web de astăzi, dar instrucțiunile pregătite utilizează parametri care nu se potrivesc cu variabilele cu șiruri SQL, ceea ce face imposibil ca atacatorul să modifice instrucțiunea SQL.
Instrucțiunile pregătite combină variabilele cu instrucțiunea SQL precompilată, iar acest lucru face ca codul SQL și variabilele să fie trimise separat. Apoi, variabilele sunt interpretate ca simple șiruri, nu ca parte a instrucțiunii SQL. Folosind metodele de mai jos, nu va trebui să folosiți alte tehnici de filtrare a atacurilor SQL, cum ar fi mysql_real_escape_string ().