4

我有一个使用用户名和密码登录的简单表单。我想应用白名单以仅允许某些字符。我不知道是否有人需要这个,但这里是检索用户名和密码的代码:

$stmt = $conn2->prepare("SELECT username FROM users WHERE username = ? AND password = ?");

$stmt->bind_param("ss", $username, $password);      
$stmt->execute();
$stmt->store_result();

我是否合并了这样的东西:

preg_replace( "/[^a-zA-Z0-9_]/", "", $stringToFilter );

如果是这样,我应该将它包含在我的代码中的什么位置?如果用户尝试输入白名单以外的内容会发生什么?

补充:好吧,如果它在注册期间并且使用 INSERT 存储用户名和密码怎么办?

//insert data
$stmt = $conn2->prepare("INSERT INTO users (username, email, password) VALUES (?, ?, ?)");

//bind the parameters
$stmt->bind_param('sss', $username, $email, $password);
4

1 回答 1

7

INSERT在注册期间添加过滤代码。过滤后检查字符串不为空,以便用户名"!!*&%$#()*&#$"不会作为空字符串插入。

$username_clean = preg_replace( "/[^a-zA-Z0-9_]/", "", $_POST['username'] );

if (!strlen($username_clean)){

    die("username is blank!");
}

$stmt = $conn2->prepare("INSERT INTO users (username, email, password) VALUES (?, ?, ?)");
$stmt->bind_param('sss', $username_clean, $email_clean, $password_clean);
于 2012-04-09T22:57:40.283 回答