PHP程序员都应该知道,前台的Form表单是用的非常的多的,包括登录,注册,录一些相关的信息等等,几乎都用到表单,而后台的代码,现在都是只穿整个数组进去后,就可以实现数据库的添加或修改了。
很多框架都做了这样的封装,thinkphp,ecstore等也不例外。
下面将分享个前台防止恶意修改字段的方法。下面将以ecstore开发为例:
第一步:
首先我们先确认一下表的结构,我们先举个例子:
info表:id(自增ID),name(姓名),sex(性别),age(年龄),我们默认都为字符串的类型。
第二步:
前台的页面代码:
<form id="form1" action="index.php" method="post">
<input type="text" name="name" />
<input type="text" name="sex" />
<input type="text" name="age" />
</form>
第三步:
后台index.php代码:
<?php
$arr = $_POST;
$info_mdl = $this->app->model("info");
//修改id为1的数据
$info_mdl->update($arr,array('id'=>1));
?>
就是这样,非常方便又快捷的完成了修改功能。
但是你会发现如果稍微聪明点的程序员,访问了你的网站后,按了下F12,查看元素,自己加一个input或者修改下name="id" ,然后给他赋值。改成别人的ID,你想想会出现什么状况呢?
我想你应该也清楚了,将会把目前的这个ID为1的数据,将1改成了其他的值了。
所以,教给大家一个解决的方法:
第四步:
在修改的代码前使用:
<?php
//定义好你自己数据库的字段。放在一个数组里
$arr_colunm = array('name','sex','age');
//进行foreach循环遍历
foreach($_POST as $post_key=>$post_value){
//判断name是否存在于该数据,如果在则通过,不存在则执行下面if条件
if(!in_array($_post_key,$arr_colunm)){
//清除不是 name,sex,age字段的所有数据。
unset($_POST[$post_key]);
}
}
//现在再进行修改就可以实现了。
$info_mdl->update($_POST);
?>
主要就是这样了,小小细节,实现前台防止恶意修改,非常实用,分享给大家了。
有Ecstore开发兴趣的朋友可以加我们的交流群:18886538
申请入群时请说明来自博客园