1

我正在做一个相当大的项目,其中有很多地方存在如下代码:

function foo($a, $b, $c, $d, $e, $f) {
    $clean = array();
    $mysql = array();

    $clean['a'] = htmlentities($a);
    $clean['b'] = htmlentities($b);
    $clean['c'] = htmlentities($c);
    $clean['d'] = htmlentities($d);
    //...

    $mysql['a'] = mysql_real_escape_string($clean['a']);
    $mysql['b'] = mysql_real_escape_string($clean['b']);
    $mysql['c'] = mysql_real_escape_string($clean['c']);
    $mysql['d'] = mysql_real_escape_string($clean['d']);
    //...

    //construct and execute an SQL query using the data in $mysql
    $query = "INSERT INTO a_table
              SET a='{$mysql['a']}',
                  b='{$mysql['b']}',
                  c='{$mysql['c']}',
                  d='{$mysql['d']}'";
}

显然,这会在 PHP 中针对未定义的索引引发很多警告。

真的有必要重写代码如下吗?

function foo($a, $b, $c, $d, $e, $f) {
    $clean = array();
    $mysql = array();

    $clean['a'] = htmlentities($a);
    $clean['b'] = htmlentities($b);
    $clean['c'] = htmlentities($c);
    $clean['d'] = htmlentities($d);
    //...

    $mysql['a'] = (isset($clean['a'])) ? mysql_real_escape_string($clean['a']) : mysql_real_escape_string($a);
    $mysql['b'] = (isset($clean['b'])) ? mysql_real_escape_string($clean['b']) : mysql_real_escape_string($b);
    $mysql['c'] = (isset($clean['c'])) ? mysql_real_escape_string($clean['c']) : mysql_real_escape_string($c);
    $mysql['d'] = (isset($clean['d'])) ? mysql_real_escape_string($clean['d']) : mysql_real_escape_string($d);
    //...

    //construct and execute an SQL query using the data in $mysql
    if (isset($mysql['a']) and isset($mysql['b']) and isset($mysql['c']) and isset($mysql['d'])) {
        $query = "INSERT INTO a_table
                  SET a='{$mysql['a']}',
                      b='{$mysql['b']}',
                      c='{$mysql['c']}',
                      d='{$mysql['d']}'";
    }

}
4

5 回答 5

1

有必要有这样一个硬编码的功能吗?

我用这个:

function insert_array($table, $data) {  
    $cols = '(';
    $values = '(';
    foreach ($data as $key=>$value) { 
        $value = mysql_real_escape_string($value);
        $cols .= "$key,";  
        $values .= "'$value',";  
    }
    $cols = rtrim($cols, ',').')';
    $values = rtrim($values, ',').')';  
    $sql = "INSERT INTO $table $cols VALUES $values";
    mysql_query($sql) or die(mysql_error());
}

然后插入数据而不管其名称和列使用:

$data = array('id' => 1, 'name' => 'Bob', 'url' => 'foo.com');
insert_array('users', $data);
于 2011-02-15T17:04:29.783 回答
1

是的,如果数组索引或变量不存在,php 给出警告/通知。

正确的方法是在使用isset()函数之前检查每个变量。

在使用前检查它们是一个很好的做法。

于 2011-02-15T17:04:36.973 回答
1

如果您使用,您可以大大简化您的功能:

function foo($a, $b, $c, $d, $e, $f) {

    $args = func_get_args();   // or build an array() manually

    $args = array_map("htmlentities", $args);
    $args = array_map("mysql_real_escape_string", $args);

    list($a, $b, $c, $d, $e, $f) = $args;

显示位置的 isset() 检查似乎完全没用。变量已经定义。

于 2011-02-15T17:24:47.347 回答
0

您需要检查可能存在或不存在的索引。但是,您的代码非常混乱,您的真实代码看起来可能完全不同。在此示例代码中,密钥显然存在,您只是自己创建了它们。

  1. 在您的示例中,您可以在检查变量的 if 中移动 mysql_real_escape_string 部分,那么您已经知道它们存在。

  2. 这里没有理由使用数组,您可以将它们存储在同一个变量中。

  3. XSS 保护(htmltentities(),请注意,这还不够)应该在显示数据之前完成,而不是在您的示例中存储之前完成。只有一个原因是你最终会得到多次编码/转义的东西。恶意 HTML/JS 不会对您的数据库造成伤害。

于 2011-02-15T17:08:56.053 回答
0

如果您的项目非常大,那么未定义的索引可能会成为一场噩梦,尤其是当它们保存由用户输入生成的数据时,尤其是在没有良好的堆栈跟踪错误报告的情况下。这是因为当数据在请求之间传递时,不能保证它是在其原始入口点设置的,因此您最终会对空值或空值进行大量冗余检查。

您可能想检查您在此处尝试完成的工作是否不能通过将此功能转换为对象来更好地实现。您用 $a $b 和 $c 表示的值可以很容易地变成对象属性,并且一个 save() 方法可以将状态保存到数据库中。

除此之外,您可以通过使用 foreach 循环更快、更连贯地执行检查。只需通过其键迭代数据并在循环体内执行真正的转义和 htmlentities。

http://php.net/manual/en/control-structures.foreach.php

我还建议将 HTMLPurifier 用于您的 XSS 过滤,因为通常 htmlentites 是不够的,特别是对于接受放置在 Web 应用程序中的用户内容的公共表单。

http://htmlpurifier.org/

于 2011-02-15T17:09:10.107 回答