PHP中的安全注释框
我已经在我的网站上使用了一段时间的评论框功能,直到昨天我注意到一条奇怪的评论出现在我的网站上,看起来一点都不正常。我这里的问题是如何防止SQL注入攻击/恶意垃圾邮件等 我不是PHP方面的专家,我确信我的代码在安全性方面缺少了一些东西 我介绍了一些基本的验证函数来检查值是否为空、是否不包含滥用语言、是否具有一定的长度等 我还可以在下面的代码中改进什么,以使其对任何攻击都更加安全PHP中的安全注释框,php,sql,security,insert,comments,Php,Sql,Security,Insert,Comments,我已经在我的网站上使用了一段时间的评论框功能,直到昨天我注意到一条奇怪的评论出现在我的网站上,看起来一点都不正常。我这里的问题是如何防止SQL注入攻击/恶意垃圾邮件等 我不是PHP方面的专家,我确信我的代码在安全性方面缺少了一些东西 我介绍了一些基本的验证函数来检查值是否为空、是否不包含滥用语言、是否具有一定的长度等 我还可以在下面的代码中改进什么,以使其对任何攻击都更加安全 <?php session_start(); require('execute.php'); if($_SER
<?php
session_start();
require('execute.php');
if($_SERVER['REQUEST_METHOD'] == 'POST')
{
if(empty($_POST['name']))
{echo '<p style="color:red;"><b>Please provide a valid name</b></p>';}
else
{
$fn = mysqli_real_escape_string($dbc, trim($_POST['name']));
}
if(empty($_POST['comment']))
{echo '<p style="color:red;"><b>Please provide a valid comment</b></p>';}
else
{
$cm = mysqli_real_escape_string($dbc, trim($_POST['comment']));
}
$minimum_n = '/[a-zA-Z]{3,}/';
if(!preg_match($minimum_n, $_POST['name']))
{$_POST['name'] = NULL; echo '<p style="color:red;"><b>Your name is too short or has incorrect format</b></p>';}
$minimum_c = '/[a-zA-Z]{5,}/';
if(!preg_match($minimum_c, $_POST['comment']))
{$_POST['comment'] = NULL; echo '<p style="color:red;"><b>Your message is too short or in incorrect format</b></p>';}
$pattern = '/(shit|crap|http|href)(s|ed|ing|ty|off)?/i'; /* Removed offensive words */
if(preg_match($pattern, $_POST['name']))
{$_POST['name'] = NULL; echo '<p style="color:red;"><b>You have chosen inappropriate nickname. Please use a different one</b></p>';}
if(preg_match($pattern, $_POST['comment']))
{$_POST['comment'] = NULL; echo '<p style="color:red;"><b>You have used inappropriate word(s) in your message</b></p>';}
if(!empty($_POST['name']) && !empty($_POST['comment']))
{
require('execute.php');
$q = "INSERT INTO comment (name, comment, date)
VALUES ('$fn', '$cm' ,NOW())";
$r = mysqli_query($dbc, $q);
mysqli_close($dbc);
}
}
?>
</div>
<div class="container_16 grid_8 alpha lefter">
<?php
session_start();
require('execute.php');
$q = "SELECT * FROM comment ORDER BY user_id DESC";
$r = mysqli_query($dbc, $q);
while($row = mysqli_fetch_array($r, MYSQLI_ASSOC))
{
echo "<p>" . ''. "<b>" . ' ' . $row['id']. ' ' . $row['name'] . ' ' . "</b>". ' ' . $row['comment']. ' ' . $row['date'] . ' ' . "</br>";
}
?>
注意安全性:默认字符集
必须在服务器级别或使用
API函数mysqli_set_charset(),以使其生效
mysqli\u real\u escape\u string()。请参阅有关角色的概念部分
设置以获取更多信息
这就是php手册中关于mysqli_real_escape_字符串函数的内容。因此,请尝试使用mysqli_set_charset()函数设置适当的字符集。我的execute.php文件中有这个;程序样式有两个属性,oo样式只有一个属性,因此可以使用$dbc->mysqli_set_charset('utf-8');或者mysqli_set_charset($dbc,'utf-8');mysqli_set_charset($dbc,'utf-8');是我从一开始就在代码中拥有的;但它似乎不够安全。还有其他建议吗?