mysql_real_escape_string()
所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId)
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
当前位置: 编程技术>php
本页文章导读:
▪PHP中防止SQL注入攻击和XSS攻击的两个简单方法
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlenti.........
▪php 格式化数字的时候注意数字的范围
构造sql语句是 比起来 代码如下: $sql = 'SELECT * FROM sdb_comments WHERE goods_id = '.intval($goods_id).' AND for_comment_id IS NULL AND object_type = ".$item." AND disabled="false" AND display = "true"'; 我更喜欢这样做: 代.........
▪在IIS7.0下面配置PHP 5.3.2运行环境的方法
首先去php站点下载所用到的安装文件。根据自己的不同需要选择,我选择安装的是这个版本:php-5.3.2-Win32-VC9-x86.msi。大家可以根据需要下载选择。
然后就可以下载安装了,一路next下去就可.........
[1]PHP中防止SQL注入攻击和XSS攻击的两个简单方法
来源: 互联网 发布时间: 2013-11-30
[2]php 格式化数字的时候注意数字的范围
来源: 互联网 发布时间: 2013-11-30
构造sql语句是 比起来
$sql = 'SELECT *
FROM sdb_comments
WHERE goods_id = '.intval($goods_id).'
AND for_comment_id IS NULL
AND object_type = ".$item."
AND disabled="false"
AND display = "true"';
我更喜欢这样做:
$sql = sprintf('SELECT *
FROM sdb_comments
WHERE goods_id = %.0f
AND for_comment_id IS NULL
AND object_type = "%s"
AND disabled="false"
AND display = "true"', (float)$goods_id, $item);
这个语句还算 简单,如果是更复杂的话,用拼接字符串的话,那简直就是一个噩梦。
使用第二种方式的话,比较方便.但是一个小问题:在格式化数字的时候就需要注意其取值范围。数字操作了取值反问。那么最后返回的sql 也不是我们需要的。
我今天做了个总结:
%d: 2^31~2^31-1(-2147483648~2147483647) (将int转化为有符号十进制)
%b:二进制(将int类型的转化为二进制)
%c:字符(将int类型转化为字符)
%u: 2^32-1(0 ~ 4294967295) (将int转化为有符号十进制)
%f: -2^128-2^128(-3.4E38 ~+3.4E38)(将float转化为float) 本地化
%F: -2^128-2^128(-3.4E38 ~+3.4E38)(将float转化为float) 非本地化
%o (将int转化为八进制)
%s:字符串
%x:将int转化为小写字母的十六进制
%X:将int转化为大写字母的十六进制
因为 数据库中 id 可能会很大 如果使用%d的话,就可能出现因为超出了范围,而到不到正确的结果。所以,个人建议 对id进行格式化的时候 使用%.0f 比 %d 要 好的多。
代码如下:
$sql = 'SELECT *
FROM sdb_comments
WHERE goods_id = '.intval($goods_id).'
AND for_comment_id IS NULL
AND object_type = ".$item."
AND disabled="false"
AND display = "true"';
我更喜欢这样做:
代码如下:
$sql = sprintf('SELECT *
FROM sdb_comments
WHERE goods_id = %.0f
AND for_comment_id IS NULL
AND object_type = "%s"
AND disabled="false"
AND display = "true"', (float)$goods_id, $item);
这个语句还算 简单,如果是更复杂的话,用拼接字符串的话,那简直就是一个噩梦。
使用第二种方式的话,比较方便.但是一个小问题:在格式化数字的时候就需要注意其取值范围。数字操作了取值反问。那么最后返回的sql 也不是我们需要的。
我今天做了个总结:
%d: 2^31~2^31-1(-2147483648~2147483647) (将int转化为有符号十进制)
%b:二进制(将int类型的转化为二进制)
%c:字符(将int类型转化为字符)
%u: 2^32-1(0 ~ 4294967295) (将int转化为有符号十进制)
%f: -2^128-2^128(-3.4E38 ~+3.4E38)(将float转化为float) 本地化
%F: -2^128-2^128(-3.4E38 ~+3.4E38)(将float转化为float) 非本地化
%o (将int转化为八进制)
%s:字符串
%x:将int转化为小写字母的十六进制
%X:将int转化为大写字母的十六进制
因为 数据库中 id 可能会很大 如果使用%d的话,就可能出现因为超出了范围,而到不到正确的结果。所以,个人建议 对id进行格式化的时候 使用%.0f 比 %d 要 好的多。
[3]在IIS7.0下面配置PHP 5.3.2运行环境的方法
来源: 互联网 发布时间: 2013-11-30
首先去php站点下载所用到的安装文件。根据自己的不同需要选择,我选择安装的是这个版本:php-5.3.2-Win32-VC9-x86.msi。大家可以根据需要下载选择。
然后就可以下载安装了,一路next下去就可以了。然后在IIS管理器里面加入一个程序映射即可。在这期间遇到了fastcgi出错的问题,然后google寻找结果都是空手而回的。估计是跟我装的版本不一样导致的,为了配置好这个环境自己又卸载重新安装php安装文件,然后就只在 里面添加了一个模块映射,具体参数如下:
这样php的配置就这么简单的完成了。真是可惜了耽误很长时间来处理这个事情。看来IIS7提高的地方还真是不少咯。今天时间有限,明天再安装mysql吧。
最新技术文章: