一览查询页面实现了输入检索条件进行SQL查询数据库表,得到满足条件的数据。
这里需要注意一点:编写代码要注意防止SQL注入。
那么什么SQL注入呢?
SQL注入就是由于程序编写不严谨,导致用户可以在界面上通过输入特殊的字符串,匹配特殊的SQL语句,执行了非预期的SQL语句,从而对数据库造成破坏或者泄漏的现象。
举例说明一下。
假设有一个登录的SQL语句:
select * from user where account='$account' and password='$password';
那么account随意输入一个比如aaa,密码如果输入特殊的字符串:' or 1=1;-- 则拼接好的SQL如下:
select * from user where account='aaa' and password='' or 1=1;--';
那么这条语句就可以满足条件,本来是查询不到数据的,但是通过输入特殊字符串就可以达到查询到数据的目的了。
这样就可以实现登录的目的了。
所以通过以上例子说明,大家就能了解SQL注入的危害性。
那么如何修改代码,避免发生SQL注入呢?
方法有很多种,一种办法是通过限制连接数据库的用户的相关权限来防止用户执行删除等的动作。
还有一种办法是修改代码进行SQL拼接的方式。
还有一种办法是对输入的条件参数进行转换,防止非法的拼接字符串出现。
entity.php代码修改如下:
可以看到在拼接输入参数变量之前,运行了函数mysql_real_escape_string,它的作用就是进行特殊字符转义,防止数据库攻击。
后面的代码实现执行SQL语句的时候都要对参数执行这个函数操作。
可以看到在拼接输入参数变量之前,运行了函数mysql_real_escape_string,它的作用就是进行特殊字符转义,防止数据库攻击。
后面的代码实现执行SQL语句的时候都要对参数执行这个函数操作。
news_detail_do.php代码如下:
news.css代码如下:
news.js代码如下:
common.php代码如下:
entity.php代码如下:
可以看到ID显示为空,然后输入如下数据:
点击新增明细按钮:
然后在明细当中输入下列文字:
然后点击“选择文件”按钮:
在文件选择框当中选择一个图片文件,点击打开:
为了保证上传成功,需要在Web服务器的WWW目录下创建一个upload目录。
然后点击上传按钮:
可以看到提示消息,说明上传成功了。点击确定按钮让消息窗口关闭:
可以看到上传好的图片文件前面多了一个查看的链接,点击这个链接:
可以看到新打开了一个窗口,显示这个图片的内容。
回到详细页面,再次点击新增明细按钮:
可以看到又多了一条明细输入行。
输入序号为2,文本内容输入一些内容如下:
然后点击“选择文件”按钮,选择一个图片文件,点击打开,然后点击“上传”按钮。
看到提示消息,说明上传成功了。点击确定按钮让消息窗口关闭:
点击保存按钮,确认窗口点击“确定”按钮:
显示保存成功的消息,点击确定,再点击返回按钮,然后点击查询按钮:
可以看到新的数据出现了。
然后修改这条新的数据,点击右侧的“修改”按钮,进入详细页面:
可以看到ID有数值了,并且所有输入的数据都正确显示出来了,修改数据如下:
然后将第2条明细记录删除,点击第2条明细行右侧的删除按钮,确认窗口点击“确定”按钮:
可以看到只剩一个明细行了。点击保存按钮:
显示修改成功的消息,点击确定,再点击返回按钮,然后点击查询按钮:
可以看到数据修改成功了。
会提示必须输入的信息,输入错误的数据,比如长度超过规定长度,姓名输入超过30个字符,点击保存按钮:
可以看到提示了相应的信息。
