编写安全 PHP应用程序的七个习惯深入分析
mber'']) ?
编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''account_number''] : ''''); ?>" /> <input type="submit"
value="Save" name="submit" /></div>
</form>
<?php
function isValidAccountNumber($number)
{
return is_numeric($number);
}
if (编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''submit''] == ''Save'') {
/* Remember habit #1--validate your data! */
if (isset(编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''account_number'']) &&
isValidAccountNumber(编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''account_number''])) {
/* do the form processing */
$link = mysql_connect(''hostname'', ''user'', ''password'') or
die (''Could not connect'' . mysql_error());
mysql_select_db(''test'', $link);
$select = sprintf("SELECT account_number, name, address " .
" FROM account_data WHERE account_number = %s;",
mysql_real_escape_string(编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''account_number'']));
echo ''<p>'' . $select . ''</p>'';
$result = mysql_query($select) or die(''<p>'' . mysql_error() . ''</p>'');
echo ''<table>'';
while ($row = mysql_fetch_assoc($result)) {
echo ''<tr>'';
echo ''<td>'' . $row[''account_number''] . ''</td>'';
echo ''<td>'' . $row[''name''] . ''</td>'';
echo ''<td>'' . $row[''address''] . ''</td>'';
echo ''</tr>'';
}
echo ''</table>'';
mysql_close($link);
} else {
echo "<span style=\"font-color:red\">" .
"Please supply a valid account number!</span>";
}
}
?>
</body>
</html>
本例还展示了 mysql_real_escape_string() 函数的用法。此函数将正确地过滤您的输入,因此它不包括无效字符。如果您一直依赖于 magic_quotes_gpc,那么需要注意它已被弃用并且将在 PHP V6 中删除。从现在开始应避免使用它并在此情况下编写安全的 PHP 应用程序。此外,如果使用的是 ISP,则有可能您的 ISP 没有启用 magic_quotes_gpc。
最后,在改进的示例中,您可以看到该 SQL 语句和输出没有包括动态列选项。使用这种方法,如果把列添加到稍后含有不同信息的表中,则可以输出这些列。如果要使用框架以与数据库结合使用,则您的框架可能已经为您执行了 SQL 验证。确保查阅文档以保证框架的安全性;如果仍然不确定,请进行验证以确保稳妥。即使使用框架进行数据库交互,仍然需要执行其他验证。
保护会话
默认情况下,PHP 中的会话信息将被写入临时目录。考虑清单 5 中的表单,该表单将显示如何存储会话中的用户 ID 和帐户编号。
清单 5. 存储会话中的数据
复制代码 代码如下:
<?php
session_start();
?>
<html>
<head>
<title>Storing session information</title>
</head>
<body>
<?php
if (编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''submit''] == ''Save'') {
编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
SESSION[''userName''] =
编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''userName''];
编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
SESSION[''accountNumber''] =
编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''accountNumber''];
}
?>
<form id="myFrom" action="<?php echo编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
SERVER[''PHP_SELF'']; ?>"
method="post">
<div><input type="hidden" name="token" value="<?php echo $token; ?>" />
<input type="text" name="userName"
value="<?php echo(isset(编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''userName'']) ?
编写安全 PHP应用程序的七个习惯深入分析_网学
· php中分页显示文章标题
· 用PHP调用数据库的存贮过程
· 用javascript+PHP随机显示图片
· 将PHP作为Shell脚本语言使用
· 用phpUnit帮你调试php程序
· 如何用php作线形图的函数
· 怎样用PHP来给网页做导航栏
· PHP应用提速面面观
· PHP4.0数组相关函数的应用
· 用PHP动态生成虚拟现实VRML网页
· PHP4+PWS在Windows 9x下的安装和配
· PHP做Shell语言
· 用PHP打造无数据库的留言本
· 使用PHP进行用户身份认证
· php.ini设定细部选项
· 用PHP实现上传的ZIP文件的解压
· Linux下用PHP4连接ORACLE8I的方法
· php做柱型图的函数
POST[''userName''] : ''''); ?>" />
<br />
<input type="text" name="accountNum
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
value="Save" name="submit" /></div>
</form>
<?php
function isValidAccountNumber($number)
{
return is_numeric($number);
}
if (
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
/* Remember habit #1--validate your data! */
if (isset(
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
isValidAccountNumber(
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
/* do the form processing */
$link = mysql_connect(''hostname'', ''user'', ''password'') or
die (''Could not connect'' . mysql_error());
mysql_select_db(''test'', $link);
$select = sprintf("SELECT account_number, name, address " .
" FROM account_data WHERE account_number = %s;",
mysql_real_escape_string(
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
echo ''<p>'' . $select . ''</p>'';
$result = mysql_query($select) or die(''<p>'' . mysql_error() . ''</p>'');
echo ''<table>'';
while ($row = mysql_fetch_assoc($result)) {
echo ''<tr>'';
echo ''<td>'' . $row[''account_number''] . ''</td>'';
echo ''<td>'' . $row[''name''] . ''</td>'';
echo ''<td>'' . $row[''address''] . ''</td>'';
echo ''</tr>'';
}
echo ''</table>'';
mysql_close($link);
} else {
echo "<span style=\"font-color:red\">" .
"Please supply a valid account number!</span>";
}
}
?>
</body>
</html>
本例还展示了 mysql_real_escape_string() 函数的用法。此函数将正确地过滤您的输入,因此它不包括无效字符。如果您一直依赖于 magic_quotes_gpc,那么需要注意它已被弃用并且将在 PHP V6 中删除。从现在开始应避免使用它并在此情况下编写安全的 PHP 应用程序。此外,如果使用的是 ISP,则有可能您的 ISP 没有启用 magic_quotes_gpc。
最后,在改进的示例中,您可以看到该 SQL 语句和输出没有包括动态列选项。使用这种方法,如果把列添加到稍后含有不同信息的表中,则可以输出这些列。如果要使用框架以与数据库结合使用,则您的框架可能已经为您执行了 SQL 验证。确保查阅文档以保证框架的安全性;如果仍然不确定,请进行验证以确保稳妥。即使使用框架进行数据库交互,仍然需要执行其他验证。
保护会话
默认情况下,PHP 中的会话信息将被写入临时目录。考虑清单 5 中的表单,该表单将显示如何存储会话中的用户 ID 和帐户编号。
清单 5. 存储会话中的数据
复制代码 代码如下:
<?php
session_start();
?>
<html>
<head>
<title>Storing session information</title>
</head>
<body>
<?php
if (
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
}
?>
<form id="myFrom" action="<?php echo
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
method="post">
<div><input type="hidden" name="token" value="<?php echo $token; ?>" />
<input type="text" name="userName"
value="<?php echo(isset(
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
网学推荐
免费论文
原创论文
文章排行榜
浏览:
版权所有 QQ:3710167 邮箱:3710167@qq.com 网学网 [Myeducs.cn]
您电脑的分辨率是
像素
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
Copyright 2008-2015 myeducs.Cn www.myeducs.Cn All Rights Reserved
湘ICP备09003080号
<br />
<input type="text" name="accountNum