0

我已经制作了这个表格,我想问一下这是否足够安全。我尝试了很多次制作验证码,但它对我不起作用。我还是个学生请不要发硬的东西。

问题 1:mysql_real_escape_string 足够安全吗?问题 2:我需要一个非常简单的(数字)验证码,有人可以给我发一个示例(或其他堆栈帖子)

这将在信息站点上用作邮件表单。在该站点上没有数据库/登录名之类的。

<?php 


    include '../connect.php'; #db connection for mysql_real_escape_string
        $errors = array('');
        //valideren of er op de submit gedrukt is en of alle benodigde data is ingevuld
        if(isset($_POST['submit'])){
            if(!empty($_POST['naam']) && !empty($_POST['email']) && !empty($_POST['bericht'])){


                 $naam           = mysql_real_escape_string($_POST['naam']);
                 $email          = mysql_real_escape_string($_POST['email']);
                 $bericht        = mysql_real_escape_string($_POST['bericht']);
                 $telefoon       = mysql_real_escape_string($_POST['telefoon']);


                $regex = "/^[A-Za-z .'-]+$/";
                if(!preg_match($regex,$naam)) {
                    array_push($errors , 'De naam is niet geldig');
                }

                if(strlen($bericht) < 5) {
                    array_push($errors , 'Het bericht is te kort');
                }                   

                $email_regex = '/^[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}$/';
                if(!preg_match($email_regex,$email)) {
                    array_push($errors , 'Uw email is niet geldig.');
                }

这里是邮件部分。 

            }else{
                array_push($errors , 'Een van de verplichte velden is niet ingevuld. Alle velden met * zijn verplicht.');
            }


        }
    ?>

    <form method="post">
        <p>
            <label>naam*</label>
            <input type="text" name="naam"/>
        </p>
        <p>
            <label>email*</label>
            <input type="text" name="email"/>
        </p>
        <p>
            <label>telefoon</label>
            <input type="text" name="telefoon"/>
        </p>
        <p>
            <label>Bericht*</label>
            <textarea  name="bericht" style="width:459px; height:187px;" ></textarea>
        </p>
        <p>
            <label> </label>
            <input type="submit" value="verstuur" name="submit"/>
        </p>
    </form>

    <?php 
        if (count ($errors > 0)){
            foreach($errors as $error){
                echo '<p class="error">'.$error.'</p>';
            }
        }
    ?>
4

1 回答 1

0

mysql_real_escape_string 足够安全吗?

对于保护 MySQL 数据库来说,这是一个糟糕的解决方案。

发送电子邮件是完全不合适的。

无论您做什么来保护不良数据不损坏您的电子邮件,都应该在数据插入该电子邮件之前完成,而不是在您对其进行完整性检查之前完成。

于 2012-08-09T11:43:23.263 回答