ຕາຕະລາງຫຼັກ

PHP ຄູ່ມູນການສອນຂັ້ນວັດທະນາການພື້ນຖານ

• ສາຍວິທະຍາ PHP
• ການຊີ້ແຈງ PHP
• ການຕິດຕັ້ງ PHP
• ການຂັດຄວາມຂອງ PHP
• ສາຍວິທະຍາການປ່ຽນປ່າວຂອງ PHP
• PHP Echo / Print
• ຮູບແບບຂອງ PHP
• ຫົວຂໍ້ຫົວອອກສັບສິນ PHP
• ສິ່ງປະກອບຄວາມຄົງທີ່ PHP
• ການການຈັດການສັບສິນ PHP
• PHP If...Else
• PHP Switch
• PHP While 循环
• PHP For 循环
• ຫົວຂໍ້ຫົວອອກສັບສິນ PHP
• ຫົວຂໍ້ຫົວອອກສັບສິນ PHP
• ການຈັດການສັບສິນ PHP
• PHP ສະໝອງທີ່ສູງສູງ

PHP ຟອມ

• PHP ການດຳເນີນຟອມ
• PHP ການກວດກາຟອມ
• PHP ຟອມ ຕ້ອງການຄົ້ນຫາ
• PHP ຟອມ URL/E-mail
• PHP ການສຳເລັດຟອມ

PHP ຄູ່ມູນການສອນຂັ້ນວັດທະນາການອາວຸໂສຄວາມຫຼາຍ

• PHP Multi-dimensional Arrays
• PHP ວັນທີ
• PHP Include
• PHP ບົດສະພາບຫຼັກ
• PHP ການເປີດ/ອ່ານຫຼັກ
• PHP ການສ້າງ/ເຮັດຂໍ້ມູນຫຼັກ
• PHP File Upload
• PHP Cookies
• PHP Sessions
• PHP ອີເມວ
• PHP ຄວາມປອດໄພອີເມວ
• PHP ບັນຫາ
• PHP Exception
• PHP ເຊັກພວງ

PHP ຖານຂໍ້ມູນ

• ການຊີ້ແຈງ MySQL
• MySQL Connect
• MySQL Create
• MySQL Insert
• MySQL Select
• MySQL Where
• MySQL Order By
• MySQL Update
• MySQL Delete
• PHP ODBC

PHP String

• XML Expat Parser
• XML DOM
• XML SimpleXML

PHP ແລະ AJAX

• AJAX ການຊີ້ແຈງ
• XMLHttpRequest
• AJAX Suggest
• AJAX XML
• AJAX ຖານຂໍ້ມູນ
• AJAX responseXML
• AJAX ການຄົ້ນຫາທີ່ສະເໝີ
• AJAX ອານວຍຄົ້ນຫາ RSS
• AJAX ການສຳຫຼວດ

PHP Reference Manual

• PHP ອາຣ໌ເອຣາຣ
• PHP ວັນທີທີ່ມີການລະບຸ
• PHP ວັນທີ
• PHP ສາຍບັນຊີ
• PHP ບັນຫາ
• PHP ບົດສະພາບຫຼັກ
• PHP ເຊັກພວງ
• PHP FTP
• PHP FTP
• PHP HTTP
• PHP LibXML
• PHP Mail
• PHP Math
• PHP MySQL
• PHP SimpleXML
• PHP MySQLi
• PHP String
• PHP XML
• PHP ອະນຸສັນຍາລັກ
• PHP Time Zone

PHP Quiz

• PHP Quiz

ຫຼັກສູດວິທະຍາສາດ

ການແນະນຳຫຼັກສູດ

• CodeW3C.com Tool Box

ການອະທິບາຍແລະການນໍາໃຊ້

ຫົວຂໍ້ mysql_real_escape_string() ທີ່ປ່ຽນພາສາທີ່ນຳໃຊ້ໃນຄຳສັນຍາລັກ SQL...

ນັກສັນຍາລັກສະນະທີ່ມີຜົນກະທົບ:

• \x00
• \n
• \r
• \
• '
• "
• \x1a

ຖ້າສຳເລັດຫົວຂໍ້ນີ້ຈະກັບຄືນການປ່ຽນພາສາທີ່ປ່ຽນມາໄດ້。ຖ້າບໍ່ສຳເລັດຈະກັບຄືນ false...

ຂອບເຫລືອ

mysql_real_escape_string(string,connection)

ອະທິບາຍ

ຫົວຂໍ້ນີ້ຈະ... string ຂອງຄຳສະເພາະຈະປ່ຽນພາສາທີ່ນຳໃຊ້ໃນການເຊື່ອມຕໍ່ຫຼັງຈາກນັ້ນສາມາດນຳໃຊ້ຢ່າງປອດໄພ... mysql_query().

ຂໍ້ສັງເກດແລະຄຳເຫັນ...

ຂໍ້ສັງເກດ:ສາມາດໃຊ້ຫົວຂໍ້ນີ້ເພື່ອປ້ອງກັນການໂຈມຕີຖານຂໍ້ມູນຂະບັນຊີ...

ຄວາມຈຳນວນ

ບົດສະຫຼຸບ 1

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
// ກິດຈະວັດປະຈຳທີ່ການຊອກຫາຊື່ຜູ້ນຳແລະມາດຕະລະນາວະ...
// ການປ່ຽນພາສາຊື່ຜູ້ນຳແລະມາດຕະລະນາວະຫຼີກພາສາສະເພາະໃນ SQL...
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);
$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"
// ກິດຈະວັດປະຈຳອີກ...
mysql_close($con);
?>

ບົດສະຫຼຸບ 2

ການໂຈມຕີຖານຂໍ້ມູນຂອງຂະບັນຊີ。ບົດສະຫຼຸບນີ້ສະແດງວ່າຫຼັງຈາກພວກເຮົາບໍ່ໃຊ້ຫົວຂໍ້ mysql_real_escape_string() ທີ່ຈະການການນຳໃຊ້ຊື່ຜູ້ນຳແລະມາດຕະລະນາວະ...

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);
// ບໍ່ກວດກາຊື່ຜູ້ນຳແລະມາດຕະລະນາວະ...
// ສາມາດເປັນຂໍ້ຄວາມທີ່ນຳໄປຈາກຜູ້ນຳໃຊ້ຫຼື:
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";
// ກິດຈະວັດປະຈຳ...
mysql_close($con);
?>

ມັນຈະການການຊອກຫາ SQL ວ່ານັ້ນ:

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''

This means that any user can log in without entering a valid password.

Example 3

Correct practice to prevent database attacks:

<?php
function check_input($value)
{
// Remove backslashes
if (get_magic_quotes_gpc())
  {
  $value = stripslashes($value);
  }
// If not a number, add quotes
if (!is_numeric($value))
  {
  $value = "'" . mysql_real_escape_string($value) . "'";
  }
return $value;
}
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
// Perform secure SQL
$user = check_input($_POST['user']);
$pwd = check_input($_POST['pwd']);
$sql = "SELECT * FROM users WHERE
user=$user AND password=$pwd";
mysql_query($sql);
mysql_close($con);
?>

Toolbox

PHP Reference Manual

PHP Quiz

Sponsor Links