微网站访问量,深圳一医疗公司给员工放假10个月,河南海绵城市建设网站,公司文化建设的意义一、 建立一个安全抽象层我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中#xff0c;而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中#xff0c;并且针对用户输入的每一项调用这个函数。当然#xff0c;我们还可以创…一、 建立一个安全抽象层我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中并且针对用户输入的每一项调用这个函数。当然我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类在本篇中我们正要讨论其中的一些。进行这种抽象至少存在三个优点(而且每一个都会改进安全级别)1. 本地化代码。2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。3. 当基于安全特征进行构建并且恰当使用时这将会有效地防止我们前面所讨论的各种各样的注入式攻击。二、 改进现有的应用程序如果你想改进一个现有的应用程序则使用一个简单的抽象层是最适当的。一个能够简单地清理你所收集的任何用户输入内容的函数可能看起来如下所示function safe( $string ) {return . mysql_real_escape_string( $string ) . }【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来就可以使用这个函数来构造一个$query变量如下所示$variety safe( $_POST[variety] );$query SELECT * from wines WHERE variety . $variety;现在你的用户试图进行一个注入式攻击-通过输入下列内容作为变量$variety的值lagrein or 11;注意如果不进行上面的清理则最后的查询将如下所示(这将导致无法预料的结果)SELECT * from wines WHERE variety lagrein or 11;然而现在既然用户的输入已经被清理那么查询语句就成为下面这样一种无危害的形式SELECT * from wines WHERE variety lagrein\ or 11\;既然数据库中不存在与指定的值相应的variety域(这正是恶意用户所输入的内容-lagrein or 11;)那么这个查询将不能返回任何结果并且注入将会失败。三、 保护一个新的应用程序如果你正在创建一个新的应用程序那么你可以从头开始创建一个安全抽象层。如今PHP 5新改进的对于MySQL的支持(这主要体现在新的mysqli扩展中)为这种安全特征提供了强有力的支持(既有过程性的也有面向对象特征的)。你可以从站点http://php.net/mysqli上获取有关mysqli的信息。注意只有
