:::

13. 資料檢查

一、 不要相信使用者

  1. 程式開發者永遠把使用者當壞人。
  2. 請試著輸入各種亂七八糟的資料到您的表單中,例如「'測試'」、「\測試\」、「<font color=red>測試</font>」、「"測試"」

二、 整理資料

  1. trim($str,[$charlist]):從空白處開始去除資料中的空白、換行、tab...等特殊符號。第二個參數可自訂要刪除哪些字元。
  2. ltrim($str,[$charlist]):僅清除左邊,rtrim($str,[$charlist]): 僅清除右邊。
  3. htmlspecialchars($str):將網頁標籤展為特殊字符(即關閉HTML功能)
    • (1)  「'引號' 設為<b>粗體</b>」會變成「'引號' 設為&lt;b&gt;粗體&lt;/b&gt;」
    • (2)  htmlspecialchars($str,ENT_QUOTES):連同單引號、雙引號也要轉換
  4. intval():將資料轉換成數字型態(32位元系統範圍:-2147483648 to 2147483647 ,64位元系統範圍:9223372036854775807)
echo intval(42);                      // 42
echo intval(4.2);                     // 4
echo intval('42');                    // 42
echo intval('+42');                   // 42
echo intval('-42');                   // -42
echo intval(042);                     // 34
echo intval('042');                   // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(42000000);                // 42000000
echo intval(420000000000000000000);   // 0
echo intval('420000000000000000000'); // 2147483647


三、 魔術引號Magic Quotes

  1. 當php.ini中的magic_quotes_gpc=On時,自動對所有的 GET、POST、COOKIE 資料中,針對 '(單引號),"(雙引號),\(反斜線)和 NULL 字符都會被自動加上一個反斜線進行轉義。這和 addslashes() 作用完全相同。
  2. 魔術引號在 PHP 中用來減少隱碼攻擊風險。(隱碼攻擊:SQL injection,在輸入的字串之中夾帶SQL指令,在設計不良的程式當中忽略了檢查,那麼這些夾帶進去的指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此遭到破壞。)
  3. 為什麼PHP6不用魔術引號
    • (1)  可移植性:因為每台機器設定都不同,容易影響移植性。建議自己用 get_magic_quotes_gpc() 來檢查是否打開,並據此來寫相關處理動作。
    • (2)  性能:由於並不是每一段被轉義的資料都要插入到資料庫的,如果所有資料都被轉義的話,那麼會對程序的執行效率產生一定的影響。
    • (3)  不便:由於不是所有數據都需要轉義,在不需要轉義的地方看到轉義的資料就很煩。比如說通過表單發送郵件,結果看到一大堆的 \'。
  4. get_magic_quotes_gpc ():用來取得目前魔術引號的設定狀況
  5. addslashes():針對 '(單引號),"(雙引號),\(反斜線)和 NULL 字符都會被自動加上一個反斜線進行轉義。
  6. stripslashes():去除反斜線用。
  7. 資料新增到資料庫前可以這樣用:$content = (! get_magic_quotes_gpc ()) ? addslashes ($content) : $content;

 您可以用「';<script>alert('aaa');</script>」來測試看看。


:::

搜尋


書籍目錄

展開 | 闔起

線上使用者

12人線上 (6人在瀏覽線上書籍)

會員: 1

訪客: 11

tad,

更多…