Oppitunnit

PHP Perusohje

• PHP opas
• PHP esittely
• PHP asennus
• PHP syntaksi
• PHP muuttujat
• PHP Echo / Tulosta
• PHP datatyypit
• PHP merkkijonofunktiot
• PHP muuttujat
• PHP operaattorit
• PHP If...Muu
• PHP Switch
• PHP While-Silmukka
• PHP For-Silmukka
• PHP funktiot
• PHP taulukot
• PHP taulukkojen järjestäminen
• PHP Ylimpäskaalainen

PHP Lomakkeen

• PHP Lomakkeen Käsittely
• PHP Lomakkeen Tarkistus
• PHP Lomakkeen Pakollinen
• PHP Lomakkeen URL/E-posti
• PHP Lomakkeen Valmistelu

PHP Edistynyt Ohje

• PHP monimutkaiset taulukot
• PHP Päivämäärä
• PHP Sisällytä
• PHP Tiedosto
• PHP Tiedoston Avaus/ Luettava
• PHP Tiedoston Luominen/ Kirjoittaminen
• PHP tiedoston lataus
• PHP evästeet
• PHP istunnot
• PHP Sähköposti
• PHP Turvallinen Sähköposti
• PHP Virhe
• PHP Poikkeus
• PHP Suodatin

PHP Tietokanta

• MySQL esittely
• MySQL Yhdistä
• MySQL Luo
• MySQL Lisää
• MySQL Valitse
• MySQL Missä
• MySQL Tila
• MySQL Päivitä
• MySQL Poista
• PHP ODBC

PHP XML

• XML ExpatParser
• XML DOM
• XML SimpleXML

PHP ja AJAX

• AJAX Esittely
• XMLHttpRequest
• AJAX Ehdotus
• AJAX XML
• AJAX Tietokanta
• AJAX responseXML
• AJAX Reaaliaikainen Haku
• AJAX RSS Lukuja
• AJAX Äänestys

PHP 参考手册

• PHP Taulukko
• PHP Kalenteri
• PHP Päivämäärä
• PHP Hakemisto
• PHP Virhe
• PHP Tiedostojärjestelmä
• PHP Suodatin
• PHP FTP
• PHP HTTP
• PHP LibXML
• PHP Mail
• PHP Math
• PHP MySQL
• PHP MySQLi
• PHP SimpleXML
• PHP String
• PHP XML
• PHP Zip
• PHP sekavinkit
• PHP 时区

PHP 测验

• PHP 测验

Valinnainen kurssi

Kurssivinkki:

• CodeW3C.com 百宝箱

Määrittely ja käyttö

mysql_real_escape_string()-funktio kääntää SQL-kyselyssä käytettävien merkkijonojen erikoismerkit.

Seuraavat merkit kärsivät vaikutuksesta:

• \x00
• \n
• \r
• \
• '
• "
• \x1a

Jos toimenpide onnistuu, funktio palauttaa käännetyn merkkijonon. Jos toimenpide epäonnistuu, palauttaa false.

Syntaksi

mysql_real_escape_string(string,connection)

Kuvaus

Tämä funktio string erikoismerkit käännetään, ja otetaan huomioon nykyinen yhdistetyksen merkistö, joten sitä voidaan käyttää mysql_query().

Vinkit ja huomiot

Vinkki:Voit käyttää tätä funktiota suojautumaan tietokantahyökkäyksiltä.

Esimerkki

Esimerkki 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
// Saadaan käyttäjänimi ja salasana
// Käytä kirjaimia ja merkkejä SQL:ssä
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// Lisää koodia
mysql_close($con);
?>

Esimerkki 2

Tietokantahyökkäys. Tämä esimerkki näyttää, mitä tapahtuu, jos emme sovellakaan mysql_real_escape_string()-funktiota käyttäjänimiin ja salasanaan:

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// Ei tarkisteta käyttäjänimiä ja salasanoja
// Voisi olla käyttäjän syöttämä sisältö, kuten:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// Jotain koodia...
mysql_close($con);
?>

Sitten SQL-kysely tulee olemaan tällainen:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

这意味着任何用户无需输入合法的密码即可登陆。

例子 3

预防数据库攻击的正确做法：

<?php
function check_input($value)
{
// 去除斜杠
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// 如果不是数字则加引号
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
// 进行安全的 SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>

工具箱

PHP 参考手册

PHP 测验

赞助商链接