1. 首頁
  2. 問答
  3. 如何在Web應用程序中存儲和轉義數據?

如何在Web應用程序中存儲和轉義數據?

2010-11-26 65 views
0

我正在尋找更正式正確和獨立的解決方案來將我的數據存儲到我的數據庫和Web應用程序中。我在幾個月裏聽到很多意見,但我不確定女巫是否正確。計劃讓我的web應用程序更具可擴展性我認爲將實際和未轉義的數據存儲在數據庫中更方便,您是否同意這一點?如何在Web應用程序中存儲和轉義數據?

現在我正在使用這個解決方案,一個用PHP5,XHTML和MySQLi僞代碼的例子。 我到處使用UTF-8沒有magic_quotes

數據處理:

<?php 
// catching data from a simple input form 
$id_profile   = $_POST['id_profile']; 
$details['name']  = $_POST['name']; 
$details['text']   = $_POST['text']; 

// filter $details 
foreach($details as &$item) { $item = trim($item); /* some stuff and other filters but no addslashes() */ } 

// Preparing and doing the query 
$stmt = $mysqli->prepare(" 
    UPDATE  profiles 
    SET   name = ?, text = ? 
    WHERE  id_profile = ? "); 
$stmt->bind_param('ssi', $details['name'], $details['text'], $id_profile); 
$stmt->execute(); 
// [...]

所以在我的數據庫中,我有真正輸入的數據沒有反斜槓。然後,當我需要輸出我的文字在我的網頁點(包括表單,表格,按鈕,輸入密碼字段和所有DOM屬性)我用這個小功能逃跑:

<?php 

//a little escape function 
function e($s) { return htmlentities($s, ENT_QUOTES, 'UTF-8'); } 

// Preparing and doing the query 
$stmt = $mysqli->prepare(" 
     SELECT  name, text 
     FROM  profiles 
     WHERE  id_profile = ? "); 
$stmt->bind_param('i', $_POST['id_profile']); 
$stmt->execute(); 
$stmt->bind_result($name, $text); 

?> 

<input type="text" id="name" value="<?=e($name) ?>"> <br /> 
<input type="text" id="text" value="<?=e($text) ?>"> <br /> 

<table> 
<tr> 
    <td><?=e($name) ?></td> 
    <td><?=e($text) ?></td> 
<td>

這是正確的,完整和安全?一些建議?

來源

2010-11-26 Fabio Mora

回答

1

我在PHP中使用PDO擴展名。這讓我無論是在PDO的quote()方法包裝輸入參數:

$first_name = $this->pdo->quote($_POST['first_name']); 
$sql = "INSERT INTO contacts (first_name) VALUES ('$first_name'); 
$res = $this->pdo->exec($sql); 
...

或用預處理語句使用參數替換...

$sql = "INSERT INTO contacts (first_name, last_name, email) VALUES (?,?,?)"; 
$smt = $this->pdo->prepare(array(
    $_POST['first_name'], 
    $_POST['last_name'], 
    $_POST['email'] 
));

當我獲取數據庫中的記錄,我確保字符串包裹在htmlspecialchars()和整數被包裹在intval(),雖然這可能不是可擴展的。您希望創建一個函數或方法來選擇數據庫中的行,並自動爲您應用任何轉換。一個快速和骯髒的例子:

/** 
* @param string $table name 
* @param integer $id of record 
* @return array of returned objects 
* @abstract 
*/ 
function select_from_db() { 
    global $pdo; 
    $id = intval($id); 
    $row = array(); 
    $sql = "SELECT * FROM $table WHERE id = '$id'"; 
    $res = $pdo->query($sql); 
    while ($row = $res->fetchObject()) { 
     foreach ($row as $field => $value) { 
      $row[$field] = htmlspecialchars($value); 
     } 
    } 
    return $row; 
} 

// example usage: 
$res = select_from_db('contacts', 1);

來源

2010-11-26 14:27:09

+0

你認爲我應該使用用htmlspecialchars(),而不是ヶ輛()?謝謝! – 2010-11-26 14:35:15

相關問題

 相關問題