Tegenwoordig hoor je steeds vaker in het nieuws dat een website gehackt is. Maar heel vaak gaat dit door middel van SQL injection.

Nou probeer ik altijd zo veilig mogelijk te programmeren. Maar toch verbaast het mij ontzettend dat er zoveel websites gehackt worden op die manier. Dus ben ik maar eens opzoek gegaan naar tutorials over SQL injection. Maar overal kom je tot de conclusie dat mysql_real_escape_string genoeg is. Wat ik altijd al gebruik in combinatie met het filteren van de input.

Is dat echt zo? Ik kan er namelijk niet bij komen dat het zo simpel is en er toch zoveel websites gehackt worden op die manier.

Heeft er iemand trouwens een suggestie voor een boek/e-boek voor gevorderden, waar goed wordt uitgelegd hoe je een website zo veilig mogelijk kan maken?

Hier wat meer info gevonden:
http://www.phpro.org/tutorials/Valid...ser-Input.html

Hoop dat je er wat mee kunt.

Geloof maar dat er een hele hoop websites zijn die goedkoop zijn opgezet en waarbij variabelen zonder enige controle worden gebruikt in de code. Principe goedkoop is duurkoop gaat vaak ook op bij websites :) Misschien dat je hier wat mee kunt: http://www.pendo.nl/demos/ebook_phpsecurity.php

Dat is inderdaad veilig, maar dan moet je het wel overal doen. Om second order injections ook te voorkomen

Bij het eerste antwoord zie je een redelijke uitleg wat het is.

http://stackoverflow.com/questions/1...-sql-injection

Of gebruik maken van PHP frameworks, waarbij het framework meestal zelf al heel veel zelf doet.