如何在Web应用程序中存储和转义数据?

时间:2010-11-26 14:18:33

标签: php mysql xhtml escaping

我正在寻找更正式,更独立的解决方案,将我的数据存储到我的数据库和Web应用程序中。我在几个月内听到很多意见,但我不确定女巫是否正确。计划使我的webapp更具可扩展性我认为将真实数据和非实体数据存储在数据库中更方便,你同意吗?

现在我正在使用这个解决方案,一个PHP5,XHTML和MySQLi伪代码的例子。 我到处都在使用 UTF-8 没有magic_quotes

数据处理:

<?php
// catching data from a simple input form
$id_profile         = $_POST['id_profile'];
$details['name']        = $_POST['name'];
$details['text']            = $_POST['text'];

// filter $details
foreach($details as &$item) {   $item = trim($item); /* some stuff and other filters but no addslashes() */ }

// Preparing and doing the query
$stmt = $mysqli->prepare("
    UPDATE      profiles
    SET         name = ?, text = ?
    WHERE       id_profile = ?  ");
$stmt->bind_param('ssi', $details['name'], $details['text'], $id_profile);
$stmt->execute();
// [...]

所以在我的数据库中,我有真正输入的数据没有反斜杠。然后,当我需要在页面的一个点(包括表单,表格,按钮,输入,密码字段和所有DOM属性)输出我的文本时,我使用这个小函数来逃避:

<?php

//a little escape function
function e($s) { return htmlentities($s, ENT_QUOTES, 'UTF-8'); }

// Preparing and doing the query
$stmt = $mysqli->prepare("
        SELECT      name, text
        FROM        profiles
        WHERE       id_profile = ?  ");
$stmt->bind_param('i', $_POST['id_profile']);
$stmt->execute();
$stmt->bind_result($name, $text);

?>

<input type="text" id="name" value="<?=e($name) ?>"> <br />
<input type="text" id="text" value="<?=e($text) ?>"> <br />

<table>
<tr>
  <td><?=e($name) ?></td>
  <td><?=e($text) ?></td>
<td>

这是正确,完整和安全的吗?一些建议?

1 个答案:

答案 0 :(得分:1)

我在PHP中使用PDO扩展名。这允许我在PDO的quote()方法中包装输入参数:

$first_name = $this->pdo->quote($_POST['first_name']);
$sql = "INSERT INTO contacts (first_name) VALUES ('$first_name');
$res = $this->pdo->exec($sql);
...

或者使用准备好的语句使用参数替换...... 

$sql = "INSERT INTO contacts (first_name, last_name, email) VALUES (?,?,?)";
$smt = $this->pdo->prepare(array(
    $_POST['first_name'],
    $_POST['last_name'],
    $_POST['email']
));

当我获取数据库记录时,我确保字符串包含在htmlspecialchars()中,整数包含在intval()中,尽管这可能不可扩展。您需要创建一个从数据库中选择行的函数或方法,并自动为您应用任何转换。一个快速而肮脏的例子:

/**
 * @param string $table name
 * @param integer $id of record
 * @return array of returned objects
 * @abstract
 */
function select_from_db() {
    global $pdo;
    $id = intval($id);
    $row = array();
    $sql = "SELECT * FROM $table WHERE id = '$id'";
    $res = $pdo->query($sql);
    while ($row = $res->fetchObject()) {
        foreach ($row as $field => $value) {
            $row[$field] = htmlspecialchars($value);
        }
    }
    return $row;
}

// example usage:
$res = select_from_db('contacts', 1);
相关问题
最新问题