这篇博客讨论了PHP新手在处理表单提交到MySQL数据库时遇到的数据验证和清理问题。作者使用PDO和占位符来保护数据库免受SQL注入攻击,但寻求关于如何在发送到数据库之前验证和清理用户输入的建议。讨论了是否应在表单动作中进行验证,以及是否应使用filter_var、trim、stripslashes等函数。同时,展示了插入数据库的代码,并询问其安全性。
完全陷入了困境-PHP的新手,并进行了简单的表单提交(创建帐户页面)以发送到mySQL数据库,因此对问题的宽恕表示歉意。
我不确定在发送数据之前如何正确验证和清除数据。但是我在插入数据库时使用的是PDO和占位符,所以我认为这一方面已经涵盖了。
这被发送到一个名为createaccount.php的单独的php文件,该文件运行用户名检查,如果成功运行,则将一个字段发送到我的dbHandler类中的insert函数中的函数。
session_start();
include('connect.php');
$username = $_POST['createUserName'];
$password = $_POST['passWord'];
$password_confirm = $_POST['confirmPW'];
$firstname = $_POST['fName'];
$surname = $_POST['sName'];
$email = $_POST['userEmail'];
if ($dbh->checkUserName($username)) {
$_SESSION['message'] = "Username is taken, please try again";
header('Location: createAccount.php');
exit();
} else {
$dbh->createAccount($username, $password, $password_confirm, $firstname, $surname, $email);
header('Location: login.php');
exit();
};
?>
所以我的问题是。我应该使用
以我的形式动作吗?如果是这样的话。我需要在createaccount.php上运行此功能,因为我无法将其发送到另一个php文件?
我应该使用filter_var吗?和/或我应该在发送到表单的变量中使用修剪,反斜杠或其他任何内容吗?我该怎么做呢?我的理解是
$name = test_input($_POST['createUserName']);
$password = test_input($_POST['passWord']); .. etc
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
另外,这是我的插入功能。这是安全的/正确编写的吗?
function createAccount($userName, $pw, $confirmPW, $fName, $sName, $email) {
$sql = "INSERT INTO `room_project`.`user` (`userName`, `pass`, `confirmPW`, `fName`, `sName`, `email`) VALUES (?, ?, ?, ?, ?, ?);";
$query = $this->connection->prepare($sql);
$query->execute(Array($userName, $pw, $confirmPW, $fName, $sName, $email));
}
?>
我非常感谢任何建议!再次请您原谅这个性质:)
扫一扫
2652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
