php表单提交程序的安全使用方法第12页
2018-09-21 16:42
用于显示错误信息和成功信息,其实也可以直接echo出错误信息,这里我只是想我的出错信息页面漂亮点,定义了一个页面输出的函数罢了。
复制代码 代码如下:
<?php
//savecomment.php//大家先不要看注释,看完本文后,再回过头来看
require(config.php);
mysql_connect($servername,$dbusername,$dbpassword)ordie(数据库连接失败);
$name=$_POST[name];
$content=$_POST[content];
$blogid=$_POST[blogid];
$datearray=getdate(time());
$date=date(Y-m-dh:i:s,$datearray[0]);
if(!empty($name)&&!empty($content)){
//用empty函数判断表单非空的话则往下。
if(strlen($name)>20){
//通过非空判断则开始判断$name的长度。
error(“名字超过20个字节(20个英文或10个汉字)<br>”);
}
f(!is_numeric($_POST[blogid])){
error(“隐藏数据被非法修改过,请返回<br>”);
}
//由于$blogid待会是要放进select的,此变量是用来标示评论是属于哪篇文章,它是int类型,虽说是隐藏变量,但攻击者也是可以在本地修改远程提交的,所以我们在放进select之前需要检查类型。
$blogsql=Select*FROM$comment_tableWhereblogid=$blogid
$blogresult=mysql_db_query($dbname,$blogsql);
$blog=mysql_fetch_array($blogresult);
if(strlen($name)==strlen($blog[name])&&strlen($content)==strlen($blog[content])){
//查询数据库的两个字段的长度,因为名字长度可能相同,但两个都相同正常情况下出现的几率就相当小了,所以用&&同时判断。
error(“你欲提交的内容评论里已存在,请返回<br>”);
}
//下面就开始判断时间间隔。更详细的说明请看文章后面内容。
session_start();
if(session_is_registered(time)&&time()-$_SESSION[time]<60*2){error(“对不起,你两次提交的时间间隔还不到2分钟<br>”);
}else{
$sql=InsertINTO$comment_table(date,name,content,blogid)VALUES($date,$name,$content,$blogid)
mysql_db_query($dbname,$sql);
mysql_close();
$time=time();
session_register(time);
succeed(“评论提交成功<br>”);
}}
//结束非空的判断
error(“你没有填写完所有表单<br>”);
?>
上面是一个记录评论数据的文件。表单如下:
复制代码 代码如下:
<formaction=savecomment.phpmethod=POST>
<inputtype=hiddenname=blogidvalue=<?=$row[blogid]?>>
您的名字:<inputname=nametype=textsize=20maxlength=100>
评论内容:<textareaname=contentcols=60rows=8></textarea>
<inputtype=submitname=Submitvalue=提交></form>
12下一页阅读全文
文章标题:php表单提交程序的安全使用方法第12页
文章链接:http://soscw.com/index.php/essay/16579.html