时间:2021-07-01 10:21:17 帮助过:13人阅读
(2).用php匹配用户输入的用户名和密码
防止SQL注入攻击的方法:针对php来说的话,要么优化自己写的语句,要么把用户输入的内容处理一下,永远不要相信用户的任何输入数据,这是做程序的常识。
处理用户输入内容是先自己写一个函数去判断用户输入的内容里面有没有特殊符号,像or、and、‘’等。如果有的话就去掉。
后面还会学另一种方法pdo提供的一种方式,是最好的解决方案,其方法是先把这条sql语句分两次发动给服务器,第一次发送写好的sql语句框架,变量先不发送,mysql数据库接收到以后先等待执行,然后再把用户输入的内容提交过去,这样就把字符串拆开了,后来给的内容就是要查的内容,数据库就会原样的去匹配。
我们下面采用优化sql语句的方法来防止注入攻击。sql语句换一种写法。
$db = new MySQLi("localhost","root","666","text1"); mysqli_connect_error()?die("连接失败"):""; $sql = "select password from login where username=‘{$uid}‘";//先根据uid找到对应的密码,这样最多只能找到一条数据。这样fetch_row()最多能取到1列。 //执行sql语句 $result = $db->query($sql); $n = $result->fetch_row(); if($uid !="" && $pwd !="")//防止出现代码下面所说的bug。 { if($n[0]==$pwd)//判断从数据库中找到的密码和用户输入的密码是不是一样。 { header("location:main.php");//如果相等局跳转 } else { echo "用户名或密码错误";//如果不相等就出现提示 } } else//如果用户名或者密码不输入弹出的信息 { echo "用户名或密码不能为空"; } //这样写的优点就是不管用户名怎么写,密码就是固定的密码。验证两个密码是不是一样。 //这种方法还会有个bug就是用户名和密码都输入错误也能登陆,因为数据库中没有改用户名就会输出null,密码输错了也会返回null,正好会匹配上。这样就在外面再加上一个if判断输入的内容是不是空的,如果是空的就弹出提示信息。
二、将数据库中info表中的信息以表格的相识显示在页面中
(1)在网页上显示出数据
<table width="100%" border="1" cellpadding="0" cellspacing="0"> <tr><!--做表头--> <td>代号</td> <td>姓名</td> <td>性别</td> <td>民族</td> <td>生日</td> </tr> <?php //做表的内容,嵌入php代码 //造连接对象 $db = new MySQLi("localhost","root","666","text1"); //写sql语句 $sql = "select *from info"; //执行sql语句 $result = $db->query($sql); //读数据,返回一个二维数组 $attr = $result->fetch_all(); //将二维数组里面的数据显示出来 foreach($attr as $v) { echo"<tr>"; echo"<td>{$v[0]}</td><td>{$v[1]}</td><td>{$v[2]}</td><td>{$v[3]}</td><td>{$v[4]}</td>";//当行数比较多时者采用下面的写法。 /*foreach($v as $v1)//$v1就是变量了,二不是数组了。 { echo "<td>{$v1}</td>"; }*/ echo"</tr>"; } ?> </table> <!--以上代码会显示出info表的信息,但是sex栏显示的是0或1,而不是男或女,nation栏显示的也是民族的代号-->
(2)网页表格中的性别显示为男、女和民族栏显示出民族的名称
只更改php中的代码,其它地方的代码不变。
<?php $db = new MySQLi("localhost","root","666","text1"); $sql = "select *from info"; $result = $db->query($sql); $attr = $result->fetch_all(); foreach($attr as $v) { echo"<tr>"; $sex = $v[2]?"男":"女";//$v[2]里面显示的是sex,内容是0和1,现在要转化为男和女。最简单的是用三元运算符写。用变量$sex接收,然后把$sex放到表格中替换$v[2]。就会显示男女了。 //$v[3]是民族的那一列,nation有另外一张表,要根据民族代号查询民族名称。上面链接对象已经造好了,不需要再链接数据库了,用同一个连接就可以。直接写sql语句 $sname = "select name from nation where code=‘{$v[3]}‘";//根据民资代号查询民族名称 $rname = $db->query($sname);//返回结果集 $aname = $rname->fetch_row();//返回一个数组,$aname[0]里面就是存的民族名称,直接代替$v[3]. echo"<td>{$v[0]}</td><td>{$v[1]}</td><td>{$sex}</td><td>{$aname[0]}</td><td>{$v[4]}</td>"; /*foreach($v as $v1)//$v1就是变量了,二不是数组了。 { echo "<td>{$v1}</td>"; }*/ echo"</tr>"; } ?>
如果觉得显示民族的代码写在foreach里面显得太乱,还可以封装一个函数,调用这个函数来显示民的名称,具体写法如下,也是只写php里面的代码。
<?php $db = new MySQLi("localhost","root","666","text1"); $sql = "select *from info"; $result = $db->query($sql); $attr = $result->fetch_all(); foreach($attr as $v) { echo"<tr>"; $sex = $v[2]?"男":"女";//$v[2]里面显示的是sex,内容是0和1,现在要转化为男和女。最简单的是用三元运算符写。用变量$sex接收,然后把$sex放到表格中替换$v[2]。就会娴熟男女了。 //根据民族代号查询民族名称 $name = NationName($v[3]);//调用封装的函数,根据民族代号显示出民族名称。 echo"<td>{$v[0]}</td><td>{$v[1]}</td><td>{$sex}</td><td>{$name}</td><td>{$v[4]}</td>"; /*foreach($v as $v1)//$v1就是变量了,二不是数组了。 { echo "<td>{$v1}</td>"; }*/ echo"</tr>"; } //封装下面的函数,这个函数的作用是给一个民族代号,返回民族名称。 function NationName($code) { $db = new MySQLi("localhost","root","666","text1"); $sql = "select name from nation where code = ‘{$code}‘"; $result = $db->query($sql); $attr = $result->fetch_row(); return $attr[0]; } ?>
(3)对表格增加删除的功能,每行后面都加一个删除按钮,点击后从数据库中删除该条数据。
main.php页面中的代码如下:(后面带注释的就是需要修改的)
<table width="100%" border="1" cellpadding="0" cellspacing="0"> <tr><!--做表头--> <td>代号</td> <td>姓名</td> <td>性别</td> <td>民族</td> <td>生日</td> <td>操作</td><!--添加一列,做删除列--> </tr> <?php $db = new MySQLi("localhost","root","666","text1"); $sql = "select *from info"; $result = $db->query($sql); $attr = $result->fetch_all(); foreach($attr as $v) { echo"<tr>"; $sex = $v[2]?"男":"女"; $name = NationName($v[3]); echo"<td>{$v[0]}</td><td>{$v[1]}</td><td>{$sex}</td><td>{$name}</td><td>{$v[4]}</td><td><a href=‘shanchu.php?c={$v[0]}‘ onclick=\"return confirm(‘确定删除吗?‘)\">删除</a></td"; //这里也要加一列,里面加删除。在删除外层添加一个<a>标签,‘删除’变成了超链接。点击删除后页面跳转到另一个页面chuli.php处理 // onclick=\"return confirm(‘确定删除吗?‘)代表的是删除之前会弹出提示信息,确认或者取消,留给用户后悔的余地。onclick事件先于跳转页面执行,confirm是弹出一个带有确认或者删除的和用户交互的对话框,点击确定就会返回true继续执行,点击取消就会返回flase停止执行。confirm()里面填写的信息就会出现在弹出的对话框里面,用于提醒用户。无论是使用的<a>标签或者是按钮,都可以使用这句话。 /*foreach($v as $v1) { echo "<td>{$v1}</td>"; }*/ echo"</tr>"; } function NationName($code) { $db = new MySQLi("localhost","root","666","text1"); $sql = "select name from nation where code = ‘{$code}‘"; $result = $db->query($sql); $attr = $result->fetch_row(); return $attr[0]; } ?> </table>
shanchu.php页面中的代码:
<?php //做删除页面,这种页面是不让用户看到的页面,把html代码全部删掉。 $code = $_GET["c"];//取出来传过来的值,传的c,就取c的值。把c的值放在主键code里面。 //造连接对象 $db = new MySQLi("localhost","root","666","text1"); $sql = "delete from info where code=‘{$code}‘";//根据传过来的值删除数据库对应的数据 $r = $db->query($sql); if($r) { header("location:main.php");//如果执行成功,就跳转到主页面main.php } else { echo "删除失败"; }
(4)对表格增加添加功能
10月28日下午 数据库的增加、删除、查询(匹配数据库登录)
标签:删除数据库 lsp 作用 attr cin -- sql注入 att 破解