Onex ecstore前台安全防止恶意修改字段

/ 0评 / 0

PHP程序员都应该知道,前台的Form表单是用的非常的多的,包括登录,注册,录一些相关的信息等等,几乎都用到表单,而后台的代码,现在都是只传整个数组进去后,就可以实现数据库的添加或修改了。

当然Ecstore也不例外。

下面将分享个前台防止恶意修改字段的方法。

第一步:

首先我们先确认一下表的结构,我们先举个例子:

info表:id(自增ID),name(姓名),sex(性别),age(年龄),我们默认都为字符串的类型。

第二步:

前台的页面代码:

<form id="form1" action="index.php" method="post">
<input type="text" name="name" />
<input type="text" name="sex" />
<input type="text" name="age" />
</form>

第三步:

后台index.php代码:

 $arr = $_POST;
 $info_mdl = $this->app->model("info");
 //修改id为1的数据
 $info_mdl->update($arr,array('id'=>1));

就是这样,非常方便又快捷的完成了修改功能。

但是你会发现如果稍微聪明点的程序员,访问了你的网站后,按了下F12,查看元素,自己加一个input或者修改下name=”id” ,然后给他赋值。改成别人的ID,你想想会出现什么状况呢?

我想你应该也清楚了,将会把目前的这个ID为1的数据,将1改成了其他的值了。

所以,教给大家一个解决的方法:

第四步:

在修改的代码前使用:

//定义好你自己数据库的字段。放在一个数组里
$arr_colunm = array('name','sex','age');
//进行foreach循环遍历
foreach($_POST as $post_key=>$post_value){
   //判断name是否存在于该数据,如果在则通过,不存在则执行下面if条件
   if(!in_array($_post_key,$arr_colunm)){
      //清除不是 name,sex,age字段的所有数据。
      unset($_POST[$post_key]);
   }
}
//现在再进行修改就可以实现了。
$info_mdl->update($_POST);

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注