关闭

PHP判断变量是否存在并且己赋值安全的写法

1364人阅读 评论(0) 收藏 举报

PHP编程中,我们会经常遇到需要判断一个变量($_GET,$_POST,$_REQUEST)是否存在并且是否有赋值。这个时候如果我们不小心去写,那么就有可能会导致注入式漏洞的产生。特别是涉及到数据库操作的时候,这种行为就更加明显。

下面通过一个实例来讲解如何书写正确的语句,规避潜在的可能产生的漏洞。我们需要获取$_GET['id']的值,为下面的数据库查询做准备。

<?php
$id = 0;
if(isset($_GET['id']) && !empty($_GET['id']))
{
	$id = intval($_GET['id']);
}
if($id < 0)
{
	$id = 0;
}
?>

intval强制转换成数字的问题。数字大于2147483647会出现溢出出现负数,但是在一般情况下,数字不会超过这么大。所以 按照上面的写法 ,应该是没问题 的。

先给$id变量设一个值,为0,接下来判断$_GET['id']是否有设置,并判断下是否为空值。如果不为空,就取整数,如果为负数,就是溢出的情况 ,给它强制性设为0.这样就能确保后面所得的$id值为安全值,不存在除整数外其它的情况出现。

如果是字符串类型的变量,在插入数据库之前,要用mysql_real_escape_string方法处理下字符串,避免注入式漏洞。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:10955次
    • 积分:281
    • 等级:
    • 排名:千里之外
    • 原创:17篇
    • 转载:0篇
    • 译文:0篇
    • 评论:0条
    文章分类
    文章存档
    友情链接