在PHP中全面阻止SQL注入式攻击之三-新闻中心-精英教育网

　　一、建立一个安全抽象层

　　我们并不建议你手工地把前面介绍的技术应用于每一个用户输入的实例中，而是强烈推荐你为此创建一个抽象层。一个简单的抽象是把你的校验方案加入到一个函数中，并且针对用户输入的每一项调用这个函数。当然，我们还可以创建一种更复杂的更高一级的抽象-把一个安全的查询封装到一个类中，从而应用于整个应用程序。在网上已经存在许多这种现成的免费的类；在本篇中，我们正要讨论其中的一些。

　　进行这种抽象至少存在三个优点（而且每一个都会改进安全级别）：

　　1. 本地化代码。

　　2. 使查询的构造更快且更为可靠-因为这可以把部分工作交由抽象代码来实现。

　　3. 当基于安全特征进行构建并且恰当使用时，这将会有效地防止我们前面所讨论的各种各样的注入式攻击。

　　二、改进现有的应用程序

　　如果你想改进一个现有的应用程序，则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示：

function safe( $string ) {
　return "'" . mysql_real_escape_string( $string ) . "'"
}

　　【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来，就可以使用这个函数来构造一个$query变量，如下所示：

本新闻共2页,当前在第1页 1 2

关键词： PHP SQL 注入式攻击


	北师大　火星时代共举影视动画培训之鼎		北大BEC培训官方报名网站现在报名独享95折!		2008年国家职业资格考试一次过关完全备考手册		2008留学第一站留学资讯尽在精英留学站！

上一篇：在PHP中全面阻止SQL注入式攻击之一
下一篇：在PHP中全面阻止SQL注入式攻击之二

　相关新闻

·单元测试实践小结[1]	·《程序员基础知识天天练》第一期
·用C语言编写Windows服务程序的五个步骤	·软件开发：C++计算四则表达式的模板
·C&C++论战之C++真的还有未来吗？	·软件：瘦身前后——兼谈C++语言进化
·软件：C语言中实现点在多边形内算法	·软件开发：数据库在C++程序中使用方法
·软件：关于C++程序中的内存划分介绍	·构建可配置PHP应用程序的正确方式
·PHP 会话(session 时间设定)使用入门	·软件应用：用 PHP V5 开发多任务应用程序
·软件开发：用 PHP 构建自定义搜索引擎	·软件应用:利用PHP制作简单的内容采集器
·升级PHP5的理由：PHP4和PHP5性能对比	·在PHP中全面阻止SQL注入式攻击之二

◇ 重点栏目导航

教育江湖	英语培训	多语种	职业认证
计算机	企业管理	商学院	考研新闻
在职研修	高考新闻	出国留学	远程学习

◇ 精英服务承诺

教育顾问：010-51660910
QQ交流：138660910