В данном примере будет фигурировать:
Наверное, начинающему php программисту пока не понятно как можно заставить программу выполнить собственный SQL запрос через поле ввода, поэтому я хочу наглядно продемонстрировать пример SQL инъекции в php.
Другими словами SQL инъекцией можно назвать намеренное действие пользователя направленное на внедрение любого SQL запроса в логику работы скрипта.
В лучшем случае, если в алгоритме работы php скрипта заложена соответствующая проверка, то информация будет отсеяна и пользователь уведомлен о не корректном вводе. Казалось бы, все хорошо, но пользователь может оказаться злоумышленником, и намеренно отправлять через поля ввода данные в виде кусочков SQL запросов. Такое действие получило название SQL инъекция.
Что случится если передать серверу заведомо ложную информацию?
Если существует поле ввода, значит, обрабатывающий скрипт на сервере ждет от пользователя какую-то информацию. Обработав ее, он совершает запрограммированные действия, в случае с авторизацией, пользователь получает доступ к закрытым частям сайта.
Здравствуйте уважаемые читатели блога , рад вновь приступить к написанию полезных статей на тему php программирования, после двухнедельного перерыва. Сегодня я бы хотел рассказать о нужном в практике механизме защиты от SQL инъекций. Все сайты на сегодняшний момент интерактивны, и имеют формы ввода информации для взаимодействия с пользователями. Примерами являются: поля ввода логина и пароля для авторизации, поля для отправки текстовых сообщений через форму обратной связи, и др.
Добро пожаловать на авторский блог .
Комментариев нет:
Отправить комментарий