php表单提交程序的安全使用方法第1/2页

用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。


代码如下:

<?php
// savecomment.php// 大家先不要看注释,看完本文后,再回过头来看
require ("config.php");
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
$name=$_POST['name'];
$content=$_POST['content'];
$blogid=$_POST['blogid'];
$datearray=getdate(time());
$date=date("Y-m-d h:i:s",$datearray[0]);
if (!empty($name) && !empty($content)){               
//用empty函数判断表单非空的话则往下。        
if(strlen($name) > 20){         
//通过非空判断则开始判断$name的长度。        
error(“名字超过20个字节(20个英文或10个汉字)<br>”);      
}        
f(!is_numeric($_POST['blogid'])){               
error(“隐藏数据被非法修改过,请返回<br>”);
        }        
//由于$blogid待会是要放进select的,此变量是用来标示评论是属于哪篇文章,它是int类型,虽说是隐藏变量,但攻击者也是可以在本地修改远程提交的,所以我们在放进select之前需要检查类型。        
$blogsql = "Select * FROM $comment_table Where blogid=$blogid"        
$blogresult = mysql_db_query($dbname, $blogsql);        
$blog = mysql_fetch_array($blogresult);        
if(strlen($name) == strlen($blog[name]) && strlen($content) == strlen($blog[content])){         
//查询数据库的两个字段的长度,因为名字长度可能相同,但两个都相同正常情况下出现的几率就相当小了,所以用&&同时判断。      
error(“你欲提交的内容评论里已存在,请返回<br>”);      
}        
//下面就开始判断时间间隔。更详细的说明请看文章后面内容。        
session_start();         
if(session_is_registered("time") && time()-$_SESSION['time']<60*2){         error(“对不起,你两次提交的时间间隔还不到2分钟<br>”);        
} else {        
$sql="Insert INTO $comment_table(date,name,content,blogid)        VALUES('$date','$name','$content','$blogid')"      
mysql_db_query($dbname,$sql);      
mysql_close();      
$time=time();        
session_register("time");        
succeed(“评论提交成功<br>”);   
     }}      
//结束非空的判断
error(“你没有填写完所有表单<br>”);
?>

上面是一个记录评论数据的文件。表单如下:


代码如下:

<form action="savecomment.php" method="POST">
<input type="hidden" name="blogid" value="<?=$row[blogid]?>">
您的名字:<input name="name" type="text" size="20" maxlength="100">
评论内容:<textarea name="content" cols="60" rows="8"></textarea>
<input type="submit" name="Submit" value="提交"></form>

当前1/2页 12下一页阅读全文

(0)

相关推荐

  • PHP魔术引号所带来的安全问题分析

    PHP通过提取魔术引号产生的"\"字符会带来一定的安全问题,例如下面这段代码片段: // foo.php?xigr='ryat function daddslashes($string, $force = 0) { !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array

  • 浅谈php安全性需要注意的几点事项

    在放假之初,我抽时间看了<白帽子讲web安全>,吴翰清基本上把web安全中所有能够遇到的问题.解决思路归纳总结得很清晰,也是我这一次整体代码安全性的基石. 我希望能分如下几个方面来分享自己的经验 把握整站的结构,避免泄露站点敏感目录 在写代码之初,我也是像很多老源码一样,在根目录下放上index.php.register.php.login.php,用户点击注册页面,就跳转到http://localhost/register.php.并没有太多的结构的思想,像这样的代码结构,最大的问题倒不是安

  • php中安全模式safe_mode配置教程

    (1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd, 但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mode = on (2) 用户组安全 当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同 组的用户也能够对文件进行访问. 建议设置为: safe_

  • 基于PHP开发中的安全防范知识详解

    PHP代码安全和XSS,SQL注入等对于各类网站的安全非常中用,尤其是UGC(User Generated Content)网站,论坛和电子商务网站,常常是XSS和SQL注入的重灾区.这里简单介绍一些基本编程要点, 相对系统安全来说,php安全防范更多要求编程人员对用户输入的各种参数能更细心. php编译过程中的安全 建议安装Suhosin补丁,必装安全补丁php.ini安全设置 复制代码 代码如下: register_global = offmagic_quotes_gpc = offdisp

  • PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)

    浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记.细心总结文章,里面有些是我们phper不易发现或者说不重视的东西.所以笔者写下来方便以后查阅.在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围.但是作为一个phper对于安全知识是:"知道有这么一回事,编程时自然有所注意". 目录: 1.php一些安全配置(1)关闭php提示错误功能(2)关闭一些"坏

  • 理解php Hash函数,增强密码安全

    1.声明 密码学是一个复杂的话题,我也不是这方面的专家.许多高校和研究机构在这方面都有长期的研究.在这篇文章里,我希望尽量使用简单易懂的方式向你展示一种安全存储Web程序密码的方法. 2."Hash"是做什么的? "Hash将一段数据(小数据或大数据)转换成一段相对短小的数据,如字符串或整数." 这是依靠单向hash函数来完成的.所谓单向是指很难(或者是实际上不可能)将其反转回来.一个常见的hash函数的例子是md5(),它流行于各种计算机语言和系统. 复制代码 代

  • 简单的方法让你的后台登录更加安全(php中加session验证)

    本文将以Joomla!后台链接为例,讲解如何"修改"我们的后台链接,使其更加安全. 原理:通过特定文件为后台入口注册session,否则失败退出.即直接使用原后台地址将无法登录后台.这样一来,入口文件名的多样性.可变更性将为你的后台登录提供更加安全的环境. 一.入口文件:myadmin.php(文件名可随时更改) 作用:注册session.源码如下: 复制代码 代码如下: <?php session_name( "Zjmainstay" ); //sessio

  • PHP安全性漫谈

    PHP安全性漫谈

    一.apache server安全性设置 1.以Nobody用户运行 一般情况下,Apache是由Root 来安装和运行的.如果Apache Server进程具有Root用户特权,那么它将给系统的安全构成很大的威胁,应确保Apache Server进程以最可能低的权限用户来运行.通过修改httpd.conf文件中的下列选项,以Nobody用户运行Apache 达到相对安全的目的. User nobody Group# -1 2.ServerRoot目录的权限 为了确保所有的配置是适当的和安全的,

  • php.ini 启用disable_functions提高安全

    Q. I run a small Apache based webserver for my personal use and it is shared with friends and family. However, most script kiddie try to exploit php application such as wordpress using exec() , passthru() , shell_exec() , system() etc functions. How

  • php安全开发 添加随机字符串验证,防止伪造跨站请求

    yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串:而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg. 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查.这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦.现在防范方法基本上都是基于这种方法的了 随机串代码实现 咱们按照这个思路,山寨一个crumb的实现,代码如下: 复

  • PHP防注入安全代码

    简述:/*************************    说明:    判断传递的变量中是否含有非法字符    如$_POST.$_GET    功能:防注入    **************************/ 复制代码 代码如下: <?php //要过滤的非法字符      $ArrFiltrate=array("'",";","union");      //出错后要跳转的url,不填则默认前一页      $StrG

随机推荐