主页 开发教程 实用的处理表单提交防止注入的方法探索!
狄默默斯基
发表于2014-12-05 14:34:53    只看楼主
楼主
头衔:  精益求精
注册时间: 2014-02-09
用户组: 日常管理组
发帖数:  557
金币数:  310
短消息
当你正在处理很多参数提交的时候,你可能会碰到数据库查询,插入等等的操作,
这时你需要转义或者实体化
对安全不了解的phper初学者,写查询语句是这样写的
$sql="select * from demo where user='".$_POST['user']."'"";

那么就有sql注入的危险
一般有点经验的人写查询语句是这么写的
$sql="select * from demo where user='".addslashes($_POST['user'])."'"";

这样写没问题,就是
1、显得不专业
2、语句太多,每条都写,繁琐,难免遗漏

我不是初学者,
我会在表单处理文件开头加上一句话,
$_POST=array_map("addslashes",$_POST);

实际源码示例
<?php
$_POST['user']="demo";
$_POST['content']="Hello,It's a book";
$_POST=array_map("addslashes",$_POST);
echo "<pre>";
var_dump($_POST);
?>

打印出来的结果:
array(2) {
  ["user"]=>
  string(4) "demo"
  ["content"]=>
  string(18) "Hello,It\'s a book"
}
引用  你好陌生人 ~ 千万别说爱 ~ 让我保持等的姿势继续期待
 
狄默默斯基
发表于2014-12-05 14:41:52
最后更新于 2014-12-05 14:42:26
1楼
头衔:  精益求精
注册时间: 2014-02-09
用户组: 日常管理组
发帖数:  557
金币数:  310
短消息
但是当碰到以下情况时,上述会失效
最简答的就是复选框
<input type=checkbox name=c[] value=1>
<input type=checkbox name=c[] value=2>
<input type=checkbox name=c[] value=3>

<input type=text name=t[]>答案1
<input type=text name=t[]>答案2
<input type=text name=t[]>答案3

虽然同名 text 控件可以设法回避掉
但复选框是绝对不能回避的
引用  你好陌生人 ~ 千万别说爱 ~ 让我保持等的姿势继续期待
 
狄默默斯基
发表于2014-12-05 14:47:30 2楼
头衔:  精益求精
注册时间: 2014-02-09
用户组: 日常管理组
发帖数:  557
金币数:  310
短消息
所以整个函数还需要再完善一下,
<?php
$a = array(
  'a' => "a'b",
  'b' => array("C'd", 123)
);
array_walk_recursive($a, function(&$v) { $v = addslashes($v); });
print_r($a);
?>

其中array_walk_recursive() 函数对数组中的每个元素应用回调函数。不一样的是,如果原数组中的元素也是数组,就会递归地调用回调函数,也就是说,会递归到更深层的数组中去。
引用  你好陌生人 ~ 千万别说爱 ~ 让我保持等的姿势继续期待

回复人
回复内容

Powered BY YouYaX
个人自主开发论坛,从2010年10月份开发至今!

操作管理