php表单提交程序的安全使用方法第1/2页

yipeiwu_com5年前PHP代码库
用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。
复制代码 代码如下:

<?php
// savecomment.php// 大家先不要看注释,看完本文后,再回过头来看
require ("config.php");
mysql_connect($servername,$dbusername,$dbpassword) or die ("数据库连接失败");
$name=$_POST['name'];
$content=$_POST['content'];
$blogid=$_POST['blogid'];
$datearray=getdate(time());
$date=date("Y-m-d h:i:s",$datearray[0]);
if (!empty($name) && !empty($content)){               
//用empty函数判断表单非空的话则往下。        
if(strlen($name) > 20){         
//通过非空判断则开始判断$name的长度。        
error(“名字超过20个字节(20个英文或10个汉字)<br>”);      
}        
f(!is_numeric($_POST['blogid'])){               
error(“隐藏数据被非法修改过,请返回<br>”);
        }        
//由于$blogid待会是要放进select的,此变量是用来标示评论是属于哪篇文章,它是int类型,虽说是隐藏变量,但攻击者也是可以在本地修改远程提交的,所以我们在放进select之前需要检查类型。        
$blogsql = "Select * FROM $comment_table Where blogid=$blogid"        
$blogresult = mysql_db_query($dbname, $blogsql);        
$blog = mysql_fetch_array($blogresult);        
if(strlen($name) == strlen($blog[name]) && strlen($content) == strlen($blog[content])){         
//查询数据库的两个字段的长度,因为名字长度可能相同,但两个都相同正常情况下出现的几率就相当小了,所以用&&同时判断。      
error(“你欲提交的内容评论里已存在,请返回<br>”);      
}        
//下面就开始判断时间间隔。更详细的说明请看文章后面内容。        
session_start();         
if(session_is_registered("time") && time()-$_SESSION['time']<60*2){         error(“对不起,你两次提交的时间间隔还不到2分钟<br>”);        
} else {        
$sql="Insert INTO $comment_table(date,name,content,blogid)        VALUES('$date','$name','$content','$blogid')"      
mysql_db_query($dbname,$sql);      
mysql_close();      
$time=time();        
session_register("time");        
succeed(“评论提交成功<br>”);   
     }}      
//结束非空的判断
error(“你没有填写完所有表单<br>”);
?>

上面是一个记录评论数据的文件。表单如下:
复制代码 代码如下:

<form action="savecomment.php" method="POST">
<input type="hidden" name="blogid" value="<?=$row[blogid]?>">
您的名字:<input name="name" type="text" size="20" maxlength="100">
评论内容:<textarea name="content" cols="60" rows="8"></textarea>
<input type="submit" name="Submit" value="提交"></form>

相关文章

PHP Warning: Module 'modulename' already loaded in问题解决办法

出现标题这样的错误大概是: 1、模块加载了两次,所以php -i|grep Configure,看一下配置文件和配置include的目录,对于这些文件中是否有同名的module 2、动态...

利用PHP实现图片等比例放大和缩小的方法详解

复制代码 代码如下:    function resizeimage($srcfile,$mySize){    $size=...

PHP内存使用情况如何获取

PHP内置函数memory_get_usage()能返回当前分配给PHP脚本的内存量,单位是字节(byte)。在WEB实际开发中,这些函数非常有用,我们可以使用它来调试PHP代码性能。...

PHP防止图片盗用(盗链)的方法小结

本文实例总结了PHP防止图片盗用(盗链)的方法。分享给大家供大家参考,具体如下: 图片防盗链有什么用? 防止其它网站盗用你的图片,浪费你宝贵的流量。本文章向大家介绍php防止图片...

PHP无敌近乎加密方式!

因为本人对sql注入比较喜欢 前前后后 检测过不少网站 aspphpjsp 发现基本都是用md5加密算法 都说 MD5 不可逆 无法破 对 MD5是无法逆 可是可以暴力破 只需要把常用的...