过滤信息（补）

从表单接受到$_POST[‘*’]

该信息内容可能会包括  “  ‘  空格  特殊符号

   例如   “user’’  ‘’  abc”

          $_POST[‘pass’]=” “” and (select * from tbl_user)防注入（攻击）

  PHP安全问题：

1、注入

SQL

      在用户执行注册过程中口令内容部分使用了类似

(select insert update delete and or etc)

   eregi(“正则表达式”,”判断字符串”,$name);

eregi($pattern,)

 $pattern=(select|insert|update)     

 Addslashes()

     \  : 转义字符

2、php

1）、register_glabals=off|on

   从表单中要想获取

$_POST[‘name’]

       $name

      2)、SQL语句尽量不要省略引号

      3）、$_POST(GETCOOKIE)过滤后在接受

      4）、命名数据库

      5）、尽量封装方法，避免暴露

      6）、重定向

 

     考虑：web项目有多少

           过滤过程写成函数单独存成一个文件

      

 

  验证码

 设计表

Username password   status  md5name

Zhang     123        0

 

 

登录

 Name  password status=1

 

Hattp://localhost/test.php?name=……

Name=ziduan