Campos sitio web son vulnerables a ataques de inyección sin unión variable.
FUNCIÓN
El lenguaje PHP tiene soporte incorporado para la unión variable con función de oci-bind-por-nombre. Vinculante variable es importante porque evita los ataques de inyección en los sitios web y bases de datos permite a los estados para ser reutilizados. Un ataque de inyección se produce cuando un campo de entrada en un sitio web se convierte directamente en una consulta de base de datos. Esto le da a los usuarios malintencionados el acceso a la base de datos. El enlace de datos resuelve este problema. Al utilizar el PHP función oci-bind por nombre, puede crear sitios web seguros que enviaban vulnerable a ataques de inyección.
Decida cómo va a ejecutar el código PHP. Si usted tiene un servidor PHP, puede ejecutar código con los archivos PHP. Si usted no tiene acceso a un servidor PHP, puede utilizar un intérprete PHP en línea. Introduzca el código de este tutorial en un archivo PHP o el intérprete PHP en línea.
Comience su programa de PHP con la siguiente declaración:
Php
Crear una variable que almacena una cadena de conexión a la base de datos. Esta cadena es altamente específico para la base de datos. PHP utiliza el oci_connect función para conectarse a bases de datos Oracle. La función toma varios parámetros: un nombre de usuario, una contraseña y la cadena de conexión. La declaración a continuación es un ejemplo de cómo utilizar oci_connect con una cadena de conexión de la muestra:
$ Connection = oci_connect (nombre de usuario, contraseña, localhost / OCIDB);
Cree una variable que almacena una declaración OCI. Una declaración OCI consiste en una cadena de conexión y una consulta de base de datos. Una consulta de base de datos es un comando que se entrega a la base de datos. Por ejemplo, la siguiente sentencia crea una tabla llamada MyTable que tiene dos columnas: un número de identificación y una cadena de texto o VARCHAR:
$ OCIStatement = oci_parse ($ connection, INSERT INTO MyTable (id, texto) VALUES (: id,: texto));
Utilice la oci_bind_by_name función para insertar el valor 1 en la primera fila de la columna de la ID:
oci_bind_by_name ($ OCIStatement,: id, 1);
Utilice la oci_bind_by_name función para insertar el valor de texto en la primera fila de la columna de texto:
oci_bind_by_name ($ OCIStatement,: texto, texto);
Concluir el programa de PHP con la siguiente declaración. El programa ya está listo para ser probado en su servidor PHP o intérprete PHP en línea.
?
No hay comentarios:
Publicar un comentario