0

我有一个场景。假设有人在我的网站上,并且有一个添加事件的表单,例如,有一个字段如下:

<input type="text" name="title" id="title">

假设那个人使用 F12 开发人员工具并将 id="title" 更改为 id="whatever",甚至删除 id 属性,那么我将如何让我的 PHP 脚本停止运行以便没有任何内容发布到 MySQL?

这是我拥有的书签功能的示例:(前端表单)

<form action="bookmarks.php" method="post" enctype="multipart/form-data">
  <div class="control-group">
    <label class="control-label" for="input-mini">Title*</label>
    <div class="controls">
       <input class="span12" id="title" name="title" type="text" placeholder="e.g. Oliver's pet cat...">
    </div>
  </div><!-- /control-group -->
  <div class="control-group">
    <label class="control-label" for="input-mini">Link*</label>
    <div class="controls">
       <input class="span12" id="link" name="link" type="text" placeholder="e.g. http://boopeo.com">
       <input type="hidden" name="parse_var" id="parse_var" value="addbookmark" />
       <br /><input name="submit" type="submit" class="btn btn-success span12" value="Bookmark" /></form>

后端 PHP:

if (isset($_POST['parse_var'])){
             $parser = $_POST['parse_var'];
             $parser = htmlspecialchars($parser);
    if ($parser == "addbookmark"){


             $title = $_POST['title'];
             $title = htmlspecialchars($title);
             $linkurl = $_POST['link'];
             $linkurl = htmlspecialchars($linkurl);

    $sqlrecentmark = $db->query("SELECT link_url FROM tablenamehere WHERE mem_id='$id' ORDER BY id DESC LIMIT 20");
    while($row = $sqlrecentmark->fetch(PDO::FETCH_ASSOC)) {
      $recent_link = $row["link_url"]; 
    }

    if ( $linkurl != $recent_link ){
         $dataact = array( 'mem_id' => $id, 'title' => $title, 'link_url' => $linkurl );  

    $sqlactivity = $db->prepare("INSERT INTO tablenamehere (mem_id, title, link_url) value (:mem_id, :title, :link_url)");  
    $sqlactivity->execute($dataact);
    } else {
        $not_msg = '<br /><br /><div class="alert alert-error">Oops! You have added that bookmark before. Just look and you shall find!</div>';
    }
    }
    }
4

2 回答 2

1

idof 输入字段不会作为发布数据传递,因此无法在后端 php 代码中进行判断。也许你在谈论name属性。

<input type="text" name="theTitle" id="aTitle">

在我上面的示例中,输入字段将发布为$_POST["theTitle"]

您可以在提交表单之前使用 javascript 检查这些元素,但如果您担心用户操纵 DOM,那可能不会有太大帮助。

在阅读了您对未定义索引错误的担忧之后,您只需在使用之前检查变量是否已设置:

if(isset($_POST["title"])) {
  $title = $_POST['title'];
} else {
  //output error
}
于 2013-07-19T22:25:33.400 回答
1

永远不要相信来自用户的数据。始终进行消毒和验证。您正在使用很好的准备好的语句,因此您将在很大程度上受到保护免受注入。您要做的另一件事是确定用户发送给您的数据是否与您的预期相符,如果匹配,则继续将其与数据库一起使用。(您大部分时间都在做,所以老实说,恶意用户应该不会产生不良影响)

于 2013-07-19T22:17:57.360 回答