php表单提交程序的安全使用方法第1/2页
php表单提交程序的安全使用方法第1/2页
发布时间:2016-12-29 来源:查字典编辑
摘要:用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。复制代码代码...

用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。

复制代码 代码如下:

<?php

//savecomment.php//大家先不要看注释,看完本文后,再回过头来看

require("config.php");

mysql_connect($servername,$dbusername,$dbpassword)ordie("数据库连接失败");

$name=$_POST['name'];

$content=$_POST['content'];

$blogid=$_POST['blogid'];

$datearray=getdate(time());

$date=date("Y-m-dh:i:s",$datearray[0]);

if(!empty($name)&&!empty($content)){

//用empty函数判断表单非空的话则往下。

if(strlen($name)>20){

//通过非空判断则开始判断$name的长度。

error(“名字超过20个字节(20个英文或10个汉字)<br>”);

}

f(!is_numeric($_POST['blogid'])){

error(“隐藏数据被非法修改过,请返回<br>”);

}

//由于$blogid待会是要放进select的,此变量是用来标示评论是属于哪篇文章,它是int类型,虽说是隐藏变量,但攻击者也是可以在本地修改远程提交的,所以我们在放进select之前需要检查类型。

$blogsql="Select*FROM$comment_tableWhereblogid=$blogid"

$blogresult=mysql_db_query($dbname,$blogsql);

$blog=mysql_fetch_array($blogresult);

if(strlen($name)==strlen($blog[name])&&strlen($content)==strlen($blog[content])){

//查询数据库的两个字段的长度,因为名字长度可能相同,但两个都相同正常情况下出现的几率就相当小了,所以用&&同时判断。

error(“你欲提交的内容评论里已存在,请返回<br>”);

}

//下面就开始判断时间间隔。更详细的说明请看文章后面内容。

session_start();

if(session_is_registered("time")&&time()-$_SESSION['time']<60*2){error(“对不起,你两次提交的时间间隔还不到2分钟<br>”);

}else{

$sql="InsertINTO$comment_table(date,name,content,blogid)VALUES('$date','$name','$content','$blogid')"

mysql_db_query($dbname,$sql);

mysql_close();

$time=time();

session_register("time");

succeed(“评论提交成功<br>”);

}}

//结束非空的判断

error(“你没有填写完所有表单<br>”);

?>

上面是一个记录评论数据的文件。表单如下:

复制代码 代码如下:

<formaction="savecomment.php"method="POST">

<inputtype="hidden"name="blogid"value="<?=$row[blogid]?>">

您的名字:<inputname="name"type="text"size="20"maxlength="100">

评论内容:<textareaname="content"cols="60"rows="8"></textarea>

<inputtype="submit"name="Submit"value="提交"></form>

当前1/2页12下一页阅读全文

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新php教程学习
热门php教程学习
编程开发子分类