欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

用PHP函數(shù)解決SQL injection

 更新時間:2006年12月09日 00:00:00   作者:  
SQL injection問題在ASP上可是鬧得沸沸揚揚當然還有不少國內外著名的PHP程序“遇難”。至于SQL injection的詳情,網上的文章太多了,在此就不作介紹。
如果你網站空間的php.ini文件里的magic_quotes_gpc設成了off,那么PHP就不會在敏感字符前加上反斜杠(\),由于表單提交的內容可能含有敏感字符,如單引號('),就導致了SQL injection的漏洞。在這種情況下,我們可以用addslashes()來解決問題,它會自動在敏感字符前添加反斜杠。
但是,上面的方法只適用于magic_quotes_gpc=Off的情況。作為一個開發(fā)者,你不知道每個用戶的magic_quotes_gpc是On還是Off,如果把全部的數(shù)據(jù)都用上addslashes(),那不是“濫殺無辜”了?假如magic_quotes_gpc=On,并且又用了addslashes()函數(shù),那讓我們來看看: 
復制代碼 代碼如下:
<?php 
//如果從表單提交一個變量$_POST['message'],內容為 Tom's book 
//這此加入連接MySQL數(shù)據(jù)庫的代碼,自己寫吧 
//在$_POST['message']的敏感字符前加上反斜杠 
$_POST['message'] = addslashes($_POST['message']); 

//由于magic_quotes_gpc=On,所以又一次在敏感字符前加反斜杠 
$sql = "INSERT INTO msg_table VALUE('$_POST[message]');"; 

//發(fā)送請求,把內容保存到數(shù)據(jù)庫內 
$query = mysql_query($sql); 

//如果你再從數(shù)據(jù)庫內提取這個記錄并輸出,就會看到 Tom\'s book 
?> 


這樣的話,在magic_quotes_gpc=On的環(huán)境里,所有輸入的單引號(')都會變成(\')……
其實我們可以用get_magic_quotes_gpc()函數(shù)輕易地解決這個問題。當magic_quotes_gpc=On時,該函數(shù)返回TRUE;當magic_quotes_gpc=Off時,返回FALSE。至此,肯定已經有不少人意識到:問題已經解決。請看代碼: 
復制代碼 代碼如下:
<?php 
//如果magic_quotes_gpc=Off,那就為提單提交的$_POST['message']里的敏感字符加反斜杠 
//magic_quotes_gpc=On的情況下,則不加 
if (!get_magic_quotes_gpc()) { 
$_POST['message'] = addslashes($_POST['message']); 
} else {} 
?> 

其實說到這里,問題已經解決。下面再說一個小技巧。
有時表單提交的變量不止一個,可能有十幾個,幾十個。那么一次一次地復制/粘帖addslashes(),是否麻煩了一點?由于從表單或URL獲取的數(shù)據(jù)都是以數(shù)組形式出現(xiàn)的,如$_POST、$_GET)那就自定義一個可以“橫掃千軍”的函數(shù): 
復制代碼 代碼如下:
<?php 
function quotes($content) 

//如果magic_quotes_gpc=Off,那么就開始處理 
if (!get_magic_quotes_gpc()) { 
//判斷$content是否為數(shù)組 
if (is_array($content)) { 
//如果$content是數(shù)組,那么就處理它的每一個單無 
foreach ($content as $key=>$value) { 
$content[$key] = addslashes($value); 

} else { 
//如果$content不是數(shù)組,那么就僅處理一次 
addslashes($content); 

} else { 
//如果magic_quotes_gpc=On,那么就不處理 

//返回$content 
return $content; 

?> 

這個應該還是有問題的吧,因為$_GET里面的數(shù)組的元素也還可能
是數(shù)組,所以還是要遞歸調用,這個vbb中有個function.php里面這
個函數(shù)用得比較全面

復制代碼 代碼如下:

function quotes($content){
if (!get_magic_quotes_gpc()) {
if(is_array($content)) {
foreach ($content as $key=>$value){
$content[$key] = quotes($value);
}
} else{
addslashes($content);
}
}
return$content;
}

function unquotes($content){
if(get_magic_quotes_gpc()) {
if (is_array($content)) {
foreach($content as $key=>$value) {
$content[$key] =unquotes($value);
}
} else{
stripslashes($content);
}
}
return$content;
}

相關文章

  • php簡單靜態(tài)頁生成過程

    php簡單靜態(tài)頁生成過程

    一直用smarty的cache,但感覺還是要自己做一個,才有感覺。網上有很多牛人的功能比較完備,打算先自己搞簡單的再慢慢豐滿。這兩天做了一個比較簡單的,在hi.baidu.net/alex_wang58記錄一下。
    2008-03-03
  • php查詢內存信息操作示例

    php查詢內存信息操作示例

    這篇文章主要介紹了php查詢內存信息操作,涉及php使用memory_get_usage()函數(shù)及memory_get_peak_usage()函數(shù)獲取系統(tǒng)內存信息相關操作技巧,需要的朋友可以參考下
    2019-05-05
  • php xml 入門學習資料

    php xml 入門學習資料

    今天做項目時遇到一個問題:需要動態(tài)更新主頁上的圖片,以示本站不是做完了就算了,是有人一直在維護。好了,需求有了,如何實現(xiàn)?!
    2011-01-01
  • php記錄代碼執(zhí)行時間(實現(xiàn)代碼)

    php記錄代碼執(zhí)行時間(實現(xiàn)代碼)

    本篇文章是對php記錄代碼執(zhí)行時間的實現(xiàn)代碼進行了詳細的分析介紹,需要的朋友可以參考下
    2013-07-07
  • 抓取并下載CSS中所有圖片文件的php代碼

    抓取并下載CSS中所有圖片文件的php代碼

    今天就讓 PHP 用正則式把 CSS 文件中的所有圖片文件,都從 CSS 原來的位置下載來吧。
    2011-09-09
  • PHP 登錄記住密碼實現(xiàn)思路

    PHP 登錄記住密碼實現(xiàn)思路

    在登錄的時候記住用戶輸入的密碼在某些情況下是很有必要的,下面是一個小例子,感興趣的朋友可以參考下哈,希望對你有所幫助
    2013-05-05
  • php操作SVN版本服務器類代碼

    php操作SVN版本服務器類代碼

    使用PHP完成SVN的操作,包括復制,查看列表,刪除,移動,創(chuàng)建目錄,查看diff,更新,合并,提交,獲取狀態(tài),獲取commit log,獲取當前版本號操作。在svn 1.6.11版本中測試通過
    2011-11-11
  • 支持中文的php加密解密類代碼

    支持中文的php加密解密類代碼

    支持中文的php加密解密類代碼,需要的朋友可以參考下。
    2011-11-11
  • PHP預防SQL注入、CSRF和XSS攻擊的常見措施

    PHP預防SQL注入、CSRF和XSS攻擊的常見措施

    在開發(fā) PHP 應用程序時,確保應用程序的安全性至關重要,SQL 注入、CSRF(跨站請求偽造)和 XSS(跨站腳本攻擊)是一些常見的安全威脅,本文給大家介紹了PHP預防SQL注入、CSRF和XSS攻擊的常見措施,需要的朋友可以參考下
    2023-11-11
  • 簡單談談php中ob_flush和flush的區(qū)別

    簡單談談php中ob_flush和flush的區(qū)別

    本文簡單的對php中ob_flush和flush進行了對比分析,得出了他們之間的區(qū)別,給需要的小伙伴參考下。
    2014-11-11

最新評論