Chuyên mục: Bảo mật web
Dưới đây là một số cách nho nhỏ giúp bạn có thể bảo vệ được website của mình khỏi SQL Injection
Dùng PDO (PHP Data Objects)
PDO là một phần tiện ích mở rộng của PHP, nó giúp website bạn trở nên nhanh và an toàn hơn.
<?php
$PSH = $db->prepare('SELECT * FROM table WHERE id = :id');
$PSH->execute(array(':id' => $_GET['id']));
$rows = $PSH->fetchAll();
?>
Sử dụng hàm mysql_real_escape_string()
Đây là một hàm khá hữu dụng. Hàm này giúp bạn loại bỏ những kí tự không cần thiết trước khi xử lí câu lệnh SQL.
<?php
$id = mysql_real_escape_string($_GET['id']);
$query = mysql_query("SELECT * FROM table where id = "' .$id. '");
?>
Sử dụng hàm preg_replace()
Đây lại là một hàm khá quen thuộc với các coder. preg_replace() giúp bạn loại bỏ những kí tự được chỉ định giúp câu lệnh trở nên an toàn hơn.
<?php
$id = preg_replace("/[^0-9]/","", $_GET['id']);
$query = mysql_query("SELECT * FROM table where id = "' .$id. '");
?>
Các câu lệnh phía trên giúp bạn loại bỏ các chữ số trước khi thực hiện các câu lệnh, chính xác là từ 0-9.
Kết
Trên đây chỉ là một số biện pháp đơn giản và mang tính tạm thời để bảo vệ website. Muốn website được tăng cường bảo mật, bạn nên lựa chọn những nhà cung cấp hosting uy tín và sử dụng mã nguồn sạch để phát triển website.
