堆棧內存溢出
  簡體   English   中英

將安全表單插入數據庫php

[英]Secure Form insert in database php

 原文  2016-02-18 01:28:32       php/ database/ sql-injection/ adodb/ sanitization

問題描述

我已經讀了很多有關如何安全處理從表單中獲取的輸入並將其插入數據庫的內容,但是如果我做得正確的話,這對我來說還不清楚。 我試圖避免所有可能的威脅,包括SQL注入,並且我直接將文件(圖像)上載到數據庫中。 我想知道是否有人可以幫助我看看我的代碼。 我正在使用adodb活動記錄來連接我的數據庫和php。 

    function insertar($post){           
        try {
            $solicitud = new solicitud();
            $solicitud->nombre = revisarInputTexto($post['nombre']." ".$post['apellido1']." ".$post['apellido2']);
            $solicitud->residencia = revisarInputTexto($post['residencia']);
            $solicitud->correo = revisarInputEmail($post['correo']);
            $solicitud->genero = revisarInputTexto($post['genero']);
            $solicitud->gradoacademicomaximo = revisarInputTexto($post['gradoacademico']);
            $solicitud->experienciaprofesional = revisarInputTexto($post['experienciaprofesional']);
            $solicitud->experienciadocente = revisarInputTexto($post['experienciadocente']);
            $solicitud->unidadacademica = revisarInputTexto($post['unidad']);

            if(isset($post['labora'])){
                $solicitud->laboradoucr = true;
            }else{
                $solicitud->laboradoucr = false;
            }       

            $solicitud->telefonos = revisarInputInt($post['telefono1'])."/".revisarInputInt($post['telefono2'])."/".revisarInputInt($post['telefono3']);
            $solicitud->nacimiento = revisarInputInt($post['anno']);

            $tmpName  = $_FILES['cedula']['tmp_name'];
            $size = $_FILES['cedula']['size'];

            if(getimagesize($tmpName) && $size < 2048000){
                $fp      = fopen($tmpName, 'r');
                $content = fread($fp, filesize($tmpName));
                $content = addslashes($content);
                fclose($fp);        
                $solicitud->fotoidentificacion = $content;
            }else{
                return false;
            }

            $solicitud->save();
        } catch (ErrorException $e) {               
            return false;
        }   
        return true;
    }

    function obtenerUnidades(){
        $unidades = new unidadacademica();
        $arreglo = $unidades->Find("1=1");
        return $arreglo;
    }

    function revisarInputTexto($datos){
        $datos = trim($datos);
        $datos = filter_var($datos, FILTER_SANITIZE_STRING);
        return $datos;
    }

    function revisarInputEmail($datos){
        $datos = trim($datos);
        $datos = filter_var($datos, FILTER_SANITIZE_EMAIL);
        return $datos;
    }

    function revisarInputInt($datos){
        $datos = trim($datos);
        $datos = filter_var($datos, FILTER_SANITIZE_NUMBER_INT);
        return $datos;
    }


    // Controlador
    if($_SERVER['REQUEST_METHOD'] == 'POST' && isset($_POST['accion'])){
            if (insertar($_POST)){
                $smarty->display('visitas-exito.tpl');
            }
            else{
                $smarty->display('visitas-fallo.tpl');
            }   
    }else{
        $unidades = obtenerUnidades();
        $smarty->assign('unidades', $unidades);
        $smarty->display('visitas-formulario.tpl');
    }

我使用的表單非常標准,我根據需要建立了所需的字段,僅此而已。

“控制器”進行一些檢查,然后調用方法“ insertar”,在該方法中,我創建了活動記錄對象,以在處理后輸入之后將其插入數據庫中。

1 個解決方案

解決方案1
 1 已采納  2016-02-18 04:44:19

如果用於執行實際數據庫查詢的方法阻止了SQL注入,那么您無需清理輸入。 里面沒有害處,但這是多余的。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 php reqular表達式可以安全地將數據插入數據庫嗎? 將PHP變量安全插入數據庫之前 PHP表單在數據庫中插入數據 在PostgresSQL數據庫中插入PHP表單 如何保護這個PHP表單 PHP安全表格 我的PHP表格安全嗎? 在PHP數據庫中插入表單輸入值 PHP創建表單以將數據插入數據庫 使用Php和PDO將表單數據插入數據庫
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM