我有一个方案。比方说,有人在我的网站,有它增加了一个事件,例如一个形式,有一个字段,如下所示:编辑HTML然后通过PHP发布
<input type="text" name="title" id="title">
比方说,某人使用了F12的开发工具和改变ID =“标题”来id =“whatever”,甚至删除id属性,那么我将如何让我的PHP脚本停止运行,以便没有任何内容发布到MySQL?
下面是一个例子了书签功能,我有:(前端形式)
<form action="bookmarks.php" method="post" enctype="multipart/form-data">
<div class="control-group">
<label class="control-label" for="input-mini">Title*</label>
<div class="controls">
<input class="span12" id="title" name="title" type="text" placeholder="e.g. Oliver's pet cat...">
</div>
</div><!-- /control-group -->
<div class="control-group">
<label class="control-label" for="input-mini">Link*</label>
<div class="controls">
<input class="span12" id="link" name="link" type="text" placeholder="e.g. http://boopeo.com">
<input type="hidden" name="parse_var" id="parse_var" value="addbookmark" />
<br /><input name="submit" type="submit" class="btn btn-success span12" value="Bookmark" /></form>
后端PHP:
if (isset($_POST['parse_var'])){
$parser = $_POST['parse_var'];
$parser = htmlspecialchars($parser);
if ($parser == "addbookmark"){
$title = $_POST['title'];
$title = htmlspecialchars($title);
$linkurl = $_POST['link'];
$linkurl = htmlspecialchars($linkurl);
$sqlrecentmark = $db->query("SELECT link_url FROM tablenamehere WHERE mem_id='$id' ORDER BY id DESC LIMIT 20");
while($row = $sqlrecentmark->fetch(PDO::FETCH_ASSOC)) {
$recent_link = $row["link_url"];
}
if ($linkurl != $recent_link){
$dataact = array('mem_id' => $id, 'title' => $title, 'link_url' => $linkurl);
$sqlactivity = $db->prepare("INSERT INTO tablenamehere (mem_id, title, link_url) value (:mem_id, :title, :link_url)");
$sqlactivity->execute($dataact);
} else {
$not_msg = '<br /><br /><div class="alert alert-error">Oops! You have added that bookmark before. Just look and you shall find!</div>';
}
}
}
从不信任用户提交的数据,总是验证和消毒...和Don忘记你必须使用参数化查询 – 2013-07-19 22:07:49
你可以发布你的前端形式和后端php代码?这看起来更像是一个与后端输入消毒有关的问题。不确定这种情况确实有害,但看起来很有趣。 – Maximus2012
我将在前面的表格中使用一个不同的示例: – James