2. 程式人生 > >18)添加引號轉移函數,防止SQL註入

18)添加引號轉移函數,防止SQL註入

阿新 發佈:2017-08-21
factor isset art .com md5 ati 出錯 pri 取數據

目錄機構:

    技術分享

然後我的改動代碼:

    MysqlDB.class.php

    技術分享

  1 <?php
  2     
  3     /**
  4      * Created by PhpStorm.
  5      * User: Interact
  6      * Date: 2017/8/19
  7      * Time: 19:32
  8      */
  9     class MysqlDB {
 10         private static $link;
 11         public $host;
 12         public
 
 $port;
 13         public $username;
 14         public $passsword;
 15         public $charset;
 16         //數據庫連接對象
 17                 public $dbname;//防止未接破壞這個連接對象,這個link就是MysqlDB 對象
 18         private $resourc;
 19         
 20         /**
 21          * @param $config,你的配置數組
 22          * @return 獲取數據庫連接對象$link,同時作為返回值

 
 23          */
 24         private function __construct($config) {
 25             $this->host = isset($config[host]) ? $config[host] : localhost;
 26             $this->port = isset($config[port]) ? $config[port] : 3306;
 27             $this->username = isset($config[username
 
]) ? $config[username] : root;
 28             $this->password = isset($config[password]) ? $config[password] : ‘‘;
 29             $this->charset = isset($config[charset]) ? $config[charset] : utf8;
 30             $this->dbname = isset($config[dbname]) ? $config[dbname] : ‘‘;
 31             //連接數據庫
 32             $this->connect();
 33             //設定連接編碼
 34             //$this->setCharset($this->charset);//這個執行不了,可能新的php有了更改
 35             //選定數據庫
 36             $this->selectDb($this->dbname);
 37         }
 38         
 39         //構造函數,禁止new,這樣可以用工廠函數來創造類
 40         public function connect() {
 41             $this->resourc = mysqli_connect("$this->host",
 42                 "$this->username", "$this->password") or die("連接數據庫失敗!");
 43         }
 44         
 45         //禁止克隆
 46         public function selectDb($dbname) {
 47             mysqli_select_db($this->resourc, $dbname);
 48         }
 49         
 50         public static function getInstance($config) {
 51             if (!isset(self::$link)) {
 52                 self::$link = new self($config);
 53                 //或者是  self::$link=$this->__construct($config);
 54             }
 55             
 56             return self::$link;
 57         }
 58         
 59         /**
 60          * 功能:執行select語句,返回2維數組
 61          * 參數:$sql 字符串類型 select語句
 62          */
 63         public function getAll($sql) {
 64             $result = $this->query($sql);
 65             $arr = array();    //空數組
 66             while ($rec = mysqli_fetch_assoc($result)) {
 67                 $arr[] = $rec;//這樣就形成二維數組
 68             }
 69             
 70             return $arr;
 71         }
 72         
 73         /**
 74          * 功能:執行最基本(任何)sql語句
 75          * 返回:如果失敗直接結束,如果成功,返回執行結果
 76          */
 77         public function query($sql) {
 78             if (!$result = mysqli_query($this->resourc, $sql)) {
 79                 echo("<br />執行失敗。");
 80                 echo "<br />失敗的sql語句為:".$sql;
 81                 echo "<br />出錯信息為:".mysqli_error($this->resourc);
 82                 echo "<br />錯誤代號為:".mysqli_errno($this->resourc);
 83                 die();
 84             }
 85             
 86             return $result;
 87         }
 88         
 89         public function getRow($sql) {
 90             $result = $this->query($sql);
 91             //$rec = array();
 92             if ($rec2 = mysqli_fetch_assoc($result)) {//返回下標為字段名的數組
 93                 //如果fetch出來有數據(也就是取得了一行數據),結果自然是數組
 94                 return $rec2;
 95             }
 96             
 97             return false;
 98         }
 99         
100         //返回一行數據(作為一維數組)
101 
102         public function getOne($sql) {
103             $result = $this->query($sql);
104             $rec = mysqli_fetch_row($result);//返回下標為數字的數組,且下標一定是0,1,2, 3.....
105             //如果沒有數據,返回false
106             if ($result === false) {
107                 return false;
108             }
109             
110             return $rec[0];    //該數組的第一項。
111             
112         }
113         //返回一個數據(select語句的第一行第一列)
114         //比如常見的:select count(*) as c from XXX where ...
115 
116         private function __clone() {
117         }
118         /**
119          * 轉義用戶數據,防止SQL註入
120          * @param $data string 帶轉換的字符串
121          * @return string
122          * 轉換後的字符串
123          */
124         public  function  escapeString($data){
125             return mysqli_real_escape_string(self::$link,$data);
126         }
127     }

    AdminModel.class.php

      技術分享

 1 <?php
 2     /**
 3      * Created by PhpStorm.
 4      * User: Interact
 5      * Date: 2017/8/21
 6      * Time: 8:39
 7      */
 8 class AdminModel extends Model{
 9     /**
10      * @param $admin_name
11      * @param $admin_pass
12      *後臺登錄驗證函數
13      * @return bool
14      */
15     public function check($admin_name, $admin_pass) {
16         $admin_name=$this->_dao->escapeString($admin_name);
17         $admin_pass=$this->_dao->escapeString($admin_pass);
18         $sql = "SELECT * FROM `admin` WHERE admin_name=‘$admin_name‘ and admin_pass=md5(‘$admin_pass‘)";
19         $row = $this->_dao->getRow($sql);
20         
21         return (bool) $row;
22     }
23 }

  AdminC.controller.class.php

    技術分享

    

 1 <?php
 2     /**
 3      * Created by PhpStorm.
 4      * User: Interact
 5      * Date: 2017/8/20
 6      * Time: 14:22
 7      */
 8 class AdminC extends  Controller{
 9    
10     
11     public  function  login(){
12 //        require
13         require APPLICATION_PATH.back/view/login.html;
14     }
15     /**
16      * 驗證管理員是否合法
17      */
18     public function check() {
19 //        echo "MC天佑MC天佑MC天佑";
20 //        echo $_REQUEST[‘username‘];
21         // 獲得表單數據
22         /*echo $_REQUEST[‘username‘];
23         echo ‘\n‘;
24         echo $_REQUEST[‘password‘];*/
25         $admin_name = $_REQUEST[username];
26         $admin_pass = $_REQUEST[password];
27         $admin_name=addslashes($admin_name);
28         $admin_pass=addslashes($admin_pass);
29        
30         
31         
32         //從數據庫中驗證管理員信息是否存在合法
33         $m_admin = Factory::M(AdminModel);
34         if ($m_admin->check($admin_name, $admin_pass)) {
35 //            //驗證通過,合法
36 //            echo ‘合法,直接跳轉到後臺首頁‘;
37            session_start();
38 //            $_SESSION[‘is_login‘]=‘yes‘;
39             new SessionDB();
40             $this->_jump(index.php?p=back&c=BACkC&a=index);
41         } else {
42             // 非法
43 //            echo ‘非法, 提示,跳轉到後臺登陸頁面index.php?p=back&c=Admin&a=login‘;
44             $this->_jump(index.php?p=back&c=AdminC&a=login,用戶名或密碼錯誤);
45         }
46 //
47     }
48 }

結果展示:

    

18)添加引號轉移函數,防止SQL註入

相關推薦

18引號轉移防止SQL

factor isset art .com md5 ati 出錯 pri 取數據 目錄機構:      然後我的改動代碼:     MysqlDB.class.php      1 <?php 2 3 /** 4

原生js的正負值處理以及回調

width 並且 urn div 停止 函數實現 等於 || nbsp 今天還是來說昨天的小例子,昨天實現的效果就是點擊按鈕“向前”即往前相反則往後,那麽需要細化的幾個問題就是:代碼可以簡化以及可以用一個變量來控制方向直接來看js: <script>

性能測試Jmeter擴展學習-自定義

默認 coder 技術分享 runtime rfi charset ons default 性能測試   我們在使用jmeter的時候有時候會碰到jmeter現有插件或功能也無法支持的場景,比如前端加密,此時我們就需要自己手動編寫函數並導入了,下面就是手動修改並導入的過程。

手動Servlet構造出現的問題及猜想

conf 重載 接口 傳遞 錯誤 右鍵 rom str 參數 我們需要用到servlet的時候,都是右鍵,新建一個servlet,但是有人註意到一個細節沒有,當我們手動給我們的servlet添加一個構造函數時候,會出現什麽狀況呢? 1.嘗試添加無參構造函數 直接上代碼

Swagger2 HTTP head參解決用戶是token信息保留

分享圖片 跨域 tails agg opera 發現 nts uil jwt 轉:http://blog.csdn.net/u014044812/article/details/71473226 大家使用swagger往往會和JWT一起使用,而一般使用jwt會將token放

【PyQt5】(06組件:按鈕並設置位置和大小

github 輸出 技術 代碼 qt5 上傳 評論 教育版 www 特別說明 為了直接展示本篇的重點,往期內容將不再寫入代碼中,讀者可按需自行編碼組合 為了更好的展示效果,代碼段將以圖片的形式上傳,若想復制代碼可移步筆者的Github 為了便於學習,每篇只解決一個小問題,

[NOI2010]能量采集 BZOJ2005 數學(反演&&歐拉分塊除法

出了 noi2010 http div 能量 its radius n) isdigit 題目描述 棟棟有一塊長方形的地,他在地上種了一種能量植物,這種植物可以采集太陽光的能量。在這些植物采集能量後,棟棟再使用一個能量匯集機器把這些植物采集到的能量匯集到一起。 棟棟的植物

防止sqladdslashes()

php null str ges 定義 echo pre 註入 之前 1 <?php 2 $str = addslashes(‘Shanghai is the "biggest" city in China.‘); 3 echo($str); 4 ?> 定義

.net core2.0json文件並轉化成類控制器使用

serialize don 程序 發現 tex mod onf -s 既然   上一篇,我們介紹了如何讀取自定義的json文件,數據是讀取出來了,只是處理的時候太麻煩,需要一遍一遍寫,很枯燥.那麽有沒有很好的辦法呢?經過鉆研,辦法有了.   既然一個一個讀取比較麻煩,那麽可

php命令及dvwa命令實踐

net c89 linux命令 不知道 cte 若是 狀態 知識擴展 當前 命令註入漏洞 註:命令註入漏洞的分析,及含有命令註入漏洞的函數解析 含有命令註入漏洞的函數:system()、exec()、passthru()、shell_exec()、``(與shell_exe

某系統核心據庫sql

為什麽 get 感覺 target 提交 廣度 file post pos 某網註入 註入點 : aaa.bbb.com/xxxager.php username存在註入 POST: adminLogin=XX&username=-1&userpwd=X

ADO。Net(二——防止SQL攻擊

多少 ext args create 查詢 屬性 匹配 拼接 註入 規避SQL註入 如果不規避,在黑窗口裏面輸入內容時利用拼接語句可以對數據進行攻擊 如:輸入Code值 p001‘ union select * from Info where ‘1‘=‘1

MySQL— pymysql模塊(防止sql可視化軟件Navicat

字典類 open weight 學習 增加 所有 avi isp 實現 一.Pymysql import pymysql #python2.X 中是 mysqldb 和 pythonmysql 用法是一模一樣的 #pymysql可以偽裝成上面這兩個模塊

php防止sql的方法(轉

原來 nta puts post提交 支持 允許 line php代碼 開發人員 【一、在服務器端配置】 安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/p

sql防止SQL之參化處理

NPU dict class 登錄 int 處理 where cal 執行 sql註入的兩種情況: 操作代碼: import pymysql user = input(‘用戶名: ‘).strip() pwd = input(‘密碼: ‘).strip() # 鏈接

5分發參c選擇控制器

require ice size ble default view create 控制 驗證 目錄關系:       代碼展示:       newnewnew.controller.class.php      1 <?php 2 /** 3

調試項目命令行參(string[] args

Once 錯誤 命令行參數 添加 args 使用 輸入參數 AR 程序 開發命令行程序時,我們會疑惑,從那裏輸入參數呢?請看下面的教程,讓你擺脫困擾。   1、點擊菜單欄:項目-》項目屬性。   2、點擊“調試”,在“命令行參數”中輸入你需要的參數。   3、點擊“安全

Spark SQL筆記整理(三載保存功能與Spark SQL

code ren maven依賴 append 關聯 dfs 取值 struct nal 加載保存功能 數據加載(json文件、jdbc)與保存(json、jdbc) 測試代碼如下: package cn.xpleaf.bigdata.spark.scala.sql.p1

JavaScript變速動畫封裝任意多個屬性回調

就是 child code push console computed 文檔 註冊事件 顯示 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8">

JavaScript變速動畫封裝任意多個屬性回調還有透明度

nis 最後一個元素 parse code name nds 第一個元素 listen child <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"