在插入数据库之前,我通常只对每个变量使用mysql_real_escape_string
,例如:
$first_name = mysql_real_escape_string($first_name); // Bill
$last_name = mysql_real_escape_string($last_name); // O'Rielly
$email = mysql_real_escape_string($email); // name@domain.com
$insert = mysql_query("
INSERT INTO `users` (first_name, last_name, email)
VALUES ('$first_name', '$last_name', '$email')
") or die(mysql_error());
但在某些表单上,我可能有20个不同的变量想要转义,所以我希望有一种方法可以使用数组,通过函数运行它来转义每个变量。然后使原始变量($first_name
、$last_name
、$email
(具有数组中转义字符串的值。我想出了以下办法,但这是我目前所能做到的。
$form_array = array($first_name, $last_name, $email);
print_r($form_array);
echo("<br />".$last_name."<br />");
function cleanInput($array) {
return array_map('mysql_real_escape_string', $array);
}
$clean_array = cleanInput($form_array);
print_r($clean_array);
echo("<br />".$clean_array[1]."<br />");
输出以下内容:
Array ( [0] => Bill [1] => O'Rielly [2] => name@domain.com )
O'Rielly
Array ( [0] => Bill [1] => O'Rielly [2] => name@domain.com )
O'Rielly
因此,我们可以看到它正在正确地逃逸,但我对使$first_name
具有$clean_array[0]
的值、$last_name
具有$clean_array[1]
的值等的整个过程感到困惑。
我当然知道我可以写:
$first_name = $clean_array[0];
$last_name = $clean_array[1];
但这让在那里设置这个数组/函数变得毫无意义,因为我还不如像往常一样分别转义每个变量/字符串。所以我希望有一种方法可以在函数中进行某种循环,根据数组中的内容动态地进行循环。
因为在未来进行验证时,我可以只进行
- 将所有$_POST数据分配给变量
- 将变量放入数组中
- 通过函数运行数组,所有原始$_POST变量现在都具有函数中的转义值
- 使用开头提到的插入方法,使用变量
$first_name
、$last_name
等的原始名称
相反:
$insert = mysql_query("
INSERT INTO `users` (first_name, last_name, email)
VALUES ('$clean_array[0]', '$clean_array[1]', '$clean_array[2]')
") or die(mysql_error());
这可能吗?
更新
从hakre关于compact
和extract
函数的文章中,我现在提出了以下内容:
$array = compact(array("first_name", "last_name", "email"));
echo("<strong>Before:</strong><br />First Name: ".$first_name."<br />Last Name: ".$last_name."<br />Email: ".$email."<br /><br />");
extract(array_map('mysql_real_escape_string', $array), EXTR_OVERWRITE);
echo("<strong>After:</strong><br />First Name: ".$first_name."<br />Last Name: ".$last_name."<br />Email: ".$email."");
它输出了以下我想要的细节:
之前:
名字:Bill
姓氏:O’Rielly
电子邮件:name@domain.com
之后:
名字:Bill
姓氏:O’Rielly
电子邮件:name@domain.com
我试着把extract
放入一个函数中,但它的工作原理不一样?
function cleanInput($array) {
$clean_array = extract(array_map('mysql_real_escape_string', $array), EXTR_OVERWRITE);
return $clean_array;
}
$array = compact(array("first_name", "last_name", "email"));
echo("<strong>Before:</strong><br />First Name: ".$first_name."<br />Last Name: ".$last_name."<br />Email: ".$email."<br /><br />");
cleanInput($array);
echo("<strong>After:</strong><br />First Name: ".$first_name."<br />Last Name: ".$last_name."<br />Email: ".$email."");
我确信我必须返回extract函数,但我尝试了一些不同的方法,它要么没有给出任何输出,要么$last_name
只是打印未标注的值。
您可能对compact
和extract
感兴趣。两者都允许您将变量作为数组进行处理。数组很舒服,因为您可以对所有值重复单个操作。
示例:
$vars = array('first_name', 'last_name', 'email');
$first_name = $last_name = $email = 'just some init value';
$array = compact($vars);
foreach($array as &$value)
$value = str_shuffle($value);
unset($value);
extract($array);
printf("First: %s; Last: %s; Email: %s", $first_name, $last_name, $email);
输出:
First: sjivus enta metluoi; Last: i evounes tliuat smj; Email: tleetnumav siuijo s
function dbSet($fields, $source = array()) {
$set = '';
if (!$source) $source = &$_POST;
foreach ($fields as $field) {
if (isset($source[$field])) {
$set.="`$field`='".mysql_real_escape_string($source[$field])."', ";
}
}
return substr($set, 0, -2);
}
这段代码被称为函数。尽管只有极少数PHP用户知道函数,但函数是一个非常非常强大的东西。它可以使您的代码简短易读,并为您节省数小时的打字时间。
因此,在您的配置文件中有了这个功能,您将不得不键入尽可能少的
$fields = explode(" ","name surname lastname address zip fax phone");
$query = "INSERT INTO table SET ".dbSet($fields);
注意$fileds数组。我希望这是不言自明的,尽管
好吧,在评论中澄清之后,我可以扩展我的回答。
摆脱常量转义的最好方法是摆脱if。创建自己的或使用一些现有的DB抽象库,这些库将为您完成所有转义。
假设检查现有用户名的代码看起来像
$username_exists=$db->getOne("SELECT id FROM users WHERE name=?",$_POST['name']);
if ($username_exists) // do stuff.
其中$_POST['name']将通过使用本机准备的语句或适当的转义/强制转换/白名单来正确格式化。
所以,根本不需要关心手动逃生
这也是我最初发布的函数的确切点。