1. 首页
  2. 问答
  3. 如何让我的变量对数据库插入安全?

如何让我的变量对数据库插入安全?

2012-04-05 84 views
0

我有一个变量,我需要在插入到我的数据库之前删除sybols,任何想法如何将mysql_real_escape_string()函数添加到我现有的代码?如何让我的变量对数据库插入安全?

表格页面

此页面是显示数据库内容的基本html表单。

<?php 
$query = sprintf("SELECT * FROM sitecontent WHERE ID = $_GET[id]"); 
$result = mysql_query($query) or die (mysql_error()); 
$post = mysql_fetch_array($result); 

    ?> 

     <form action="editp.php" method="POST" name="editform"> 
    <label for="pName" style="padding:10px; ">Post Title</label> 
    <input type="text" name="pName" style=" width:550px;border:#000099; margin:10px;" value="<?php echo $post['Post_Title']; ?>"/> 
    <label for="pCategory" style="padding:10px; ">Category</label> 
    <input type="text" name="pCategory" style=" width:50px;border:#000099; margin:10px;" value="<?php echo $post['Post_Year']; ?>"/> 
    <label for="pItem" style="padding:10px;">Item Type</label> 
    <select name="pItem" style="border:#000099; margin:10px;"> 
    <option value="1">News</option> 
    <option value="2">Review</option> 
</select> 
<label for="pName" style="padding:10px;">Article ID</label> 
     <input type="text" name="pID" style="border:#000099; margin:10px;" value="<?php echo $post['ID']; ?>"/> 
    <label for="pName" style="padding:10px;">Post Date</label> 
    <input type="text" name="pDate" style="border:#000099; margin:10px;" value="<?php echo $post['Date']; ?>"> 
    <label for="pName" style="padding:10px;">Post Author</label> 
<input type="text" name="pAuthor" style="border:#000099; margin:10px;" value="<?php echo $post['Post_Author']; ?>"/> 
    <label for="pName" style="padding:10px;">Home Page</label> 
    <select name="Page" style="border:#000099; margin:10px;"> 
    <option value="0">None</option> 
    <option value="1">Home</option> 
</select> 
<label for="pPriority" style="padding:10px;">Home Priority</label> 
    <select name="pPriority" style="border:#000099; margin:10px;"> 
<option value="0">None</option> 
    <option value="1">1</option> 
    <option value="2">2</option> 
    <option value="3">3</option> 
    <option value="4">4</option> 
    </select> 
    <label for="pName" style="padding:10px;">Post Content</label> 
    <textarea style="width:550px; height:200px;border:#000099; margin:10px;" type="text" name="pContent" id="pContent" value="<?php echo $post['Post_Content']; ?>"><?php echo $post['Post_Content']; ?></textarea> 
    <span id="btnStrong" style=" padding: 2px 8px;background-color:#C00;font-family:'Trebuchet MS', Arial, Helvetica, sans-serif; color:#FFF; cursor:pointer;">Bold</span> &nbsp; <span id="btnItalic" style=" padding: 2px 8px; background-color:#C00;font-family:'Trebuchet MS', Arial, Helvetica, sans-serif; color:#FFF; cursor:pointer;">Italic</span> 
    <label for="pImage_Name" style="padding:10px;">Image Name</label> 
    <input type="text" name="pImage_Name" style="border:#000099; margin:10px; width:550px;" value="<?php echo $post['Image_Name']; ?>"/> 
    <label for="pApproval" style="padding:10px;">Approval</label> 
    <select name="pApproval" style="border:#000099; margin:10px;"> 
    <option value="0">Pending</option> 
    <option value="1">Approved</option> 
    </select> 
    <input type="hidden" name="id" value="<?php echo $_GET['id']; ?>"/> 
    <span style="margin-left:10px;">Please check the changes above before submitting</span>    <br/> 
    <input type="submit" name="go" value="Submit Changes" style=" padding: 2px 8px;background-color:#C00; color:#FFF; margin:10px;"/> 
    </form> 

    <?php 
$updateq = "UPDATE sitecontent WHERE ID = '$_POST[id]'"; 
    ?>

更新页面

这是把从形式到数据库中的内容页面。

<?php 
include'includes/connection.php'; 
$pName = $_POST['pName']; 
$pItem = $_POST['pItem']; 
$pCategory = $_POST['pCategory']; 
$pDate = $_POST['pDate']; 
$pAuthor = $_POST['pAuthor']; 
$pContent = $_POST['pContent']; 
$Page = $_POST['Page']; 
$id = $_POST['id']; 
$pApproval = $_POST['pApproval']; 
$pPriority = $_POST['pPriority']; 
$pImage_Name = $_POST['pImage_Name']; 

$updateq = "UPDATE sitecontent SET ID = '$pID', Post_Title = '$pName', Post_Year =  '$pCategory', Date = '$pDate', Post_Author = '$pAuthor', Post_Content = '$pContent', Page =  '$Page', Post_Approval = '$pApproval', Priority = '$pPriority', Image_Name = '$pImage_Name'  WHERE ID = '$_POST[id]'"; 

$result = mysql_query($updateq) or die (mysql_error()); 
header("Location:admin.php"); 

?>

来源

2012-04-05 huddds

+0

过滤所有别忘了它们输出到浏览器,以防止跨站脚本 – 2012-04-05 13:15:20

+2

使用PDO或mysqli的预处理语句之前也清理你的变量。 .. – 2012-04-05 13:18:21

+0

dafuq我刚才看过 – 2012-04-05 13:22:52

回答

5

对于字符串只是说:

$pName = mysql_real_escape_string($_POST['pName']);

对于整数:

$id = intval($_POST['id']);

这是所有有给它;只是做了所有的变量

编辑
不管怎么说,我建议你在使用代替PDO,更好的方式来防止SQL注入!

来源

2012-04-05 13:13:58 Bono

+1

如果'转义'是为了XSS安全,那么请不要这样做!相反,使用SQL的准备好的语句和占位符,并存储没有任何PHP级别“转义”的文本。当您将其打印回浏览器时,请使用htmlentities($ text) – 2012-04-05 13:32:33

+0

本节中的答案组合非常好,非常感谢。 – huddds 2012-04-05 13:48:30

+0

约定@ David-SkyMesh – Bono 2012-04-05 13:50:36

1

哎唷!不要这样做!

$updateq = "UPDATE sitecontent SET ID = '$pID', ... WHERE ID = '$_POST[id]'"; 

$result = mysql_query($updateq) or die (mysql_error());

如果我发布这个?

id=1%37%3B%20delete%20from%20sitecontent%20where%20%37%37%3D%37

这将使您的查询看起来像:

$updateq = "UPDATE sitecontent SET ID = '$pID', ... WHERE ID = '1'; delete from sitecontent where ''=''";

这就是所谓的SQL注入。请使用数据库查询占位符!

即使数据库驱动程序不允许每个查询使用多个语句,仍然可以更改某个elses记录!

来源

2012-04-05 13:23:23

+0

什么是占位符?也是这个网站是在密码保护的密码加密。所以只有密码和用户名持有者才能访问这些页面。 – huddds 2012-04-05 13:26:01

+0

好的,你想让你的一个用户改变他人的内容吗? – 2012-04-05 13:27:45

+0

请阅读以下有关占位符的信息:http://php.net/manual/en/pdo.prepared-statements.php – 2012-04-05 13:28:25

0

您也可以尝试用一个简单的foreach

foreach($_POST as $key => $value) 
{ 
    $value = filter_var($value, FILTER_SANITIZE_STRING); 
    $value = mysql_real_escape_string($value); 
    $_POST[$key] = $value ; 
}

来源

2012-04-05 13:38:53 Baba

相关问题

 相关问题