php表单提交程序的安全使用方法第1/2页

2015-01-24信息快讯网

是对一个接收自由提交表单数据的文件进行安全性分析,希望对各位有帮助。首先说明一下,代码中的error()和succeed()是我自定义的函数

用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。 
<?php 
// savecomment.php// 大家先不要看注释,看完本文后,再回过头来看 
require ("config.php"); 
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败"); 
$name=$_POST['name']; 
$content=$_POST['content']; 
$blogid=$_POST['blogid']; 
$datearray=getdate(time()); 
$date=date("Y-m-d h:i:s",$datearray[0]); 
if (!empty($name) && !empty($content)){                
//用empty函数判断表单非空的话则往下。         
if(strlen($name) > 20){          
//通过非空判断则开始判断$name的长度。         
error(“名字超过20个字节(20个英文或10个汉字)<br>”);       
}         
f(!is_numeric($_POST['blogid'])){                
error(“隐藏数据被非法修改过,请返回<br>”); 
        }         
//由于$blogid待会是要放进select的,此变量是用来标示评论是属于哪篇文章,它是int类型,虽说是隐藏变量,但攻击者也是可以在本地修改远程提交的,所以我们在放进select之前需要检查类型。         
$blogsql = "Select * FROM $comment_table Where blogid=$blogid"         
$blogresult = mysql_db_query($dbname, $blogsql);         
$blog = mysql_fetch_array($blogresult);         
if(strlen($name) == strlen($blog[name]) && strlen($content) == strlen($blog[content])){          
//查询数据库的两个字段的长度,因为名字长度可能相同,但两个都相同正常情况下出现的几率就相当小了,所以用&&同时判断。       
error(“你欲提交的内容评论里已存在,请返回<br>”);       
}         
//下面就开始判断时间间隔。更详细的说明请看文章后面内容。         
session_start();          
if(session_is_registered("time") && time()-$_SESSION['time']<60*2){         error(“对不起,你两次提交的时间间隔还不到2分钟<br>”);         
} else {         
$sql="Insert INTO $comment_table(date,name,content,blogid)        VALUES('$date','$name','$content','$blogid')"       
mysql_db_query($dbname,$sql);       
mysql_close();       
$time=time();         
session_register("time");         
succeed(“评论提交成功<br>”);    
     }}       
//结束非空的判断 
error(“你没有填写完所有表单<br>”); 
?>

上面是一个记录评论数据的文件。表单如下: 
<form action="savecomment.php" method="POST"> 
<input type="hidden" name="blogid" value="<?=$row[blogid]?>"> 
您的名字:<input name="name" type="text" size="20" maxlength="100"> 
评论内容:<textarea name="content" cols="60" rows="8"></textarea> 
<input type="submit" name="Submit" value="提交"></form>

php 上一篇,下一篇文章实现代码与原理说明
php 获取本机外网/公网IP的代码
php 仿Comsenz安装效果代码打包提供下载
php ob_flush,flush在ie中缓冲无效的解决方法
php 各种应用乱码问题的解决方法
php empty函数判断mysql表单是否为空
PHP开发中常用的三个表单验证函数使用小结
Ajax+PHP 边学边练之四 表单
PHP小程序自动提交到自助友情连接
PHP form 表单传参明细研究
php 多个submit提交表单 处理方法
PHP 表单提交给自己
使用PHP socke 向指定页面提交数据
php socket方式提交的post详解
兼容PHP5的PHP目录管理函数库
php 防止单引号,双引号在接受页面转义
功能齐全的PHP发送邮件类代码附详细说明
使用PHP批量生成随机用户名
用PHP与XML联手进行网站编程代码实例
PHP写入WRITE编码为UTF8的文件的实现代码
在同一窗体中使用PHP来处理多个提交任务
asp和php下textarea提交大量数据发生丢失的解决方法
表单复选框向PHP传输数据的代码
如何从一个php文件向另一个地址post数据,不用表单和隐藏的变量的
常用表单验证类,有了这个,一般的验证就都齐了。
©2014-2024 dbsqp.com