一般在把數據寫入數據庫之前,先對將要寫入的數據進行校驗,可以避免出現比較嚴重的安全問題(例如一般性的SQL注入攻擊)。
mayfish 可以靈活的自定義將要執行寫入的數據內容的校驗規則,以減少開發人員手動對每一個字段的數據進行校驗的麻煩。
例子如下:
一、首先定義數據庫模塊 復制代碼 代碼如下:
<?php
class MemberModel extends AppModel
{
/** 設置數據庫表名稱 **/
protected $tableName = "members";
/**
* 數據驗證規則
*/
protected $verify = array(
array("NotEmpty", "username", "用戶名不能留空"),
array("hasOne", "username", "此用戶已經存在,請換另一個用戶名稱再試一次"),
array("NotEmpty", "password", "密碼不能留空"),
array("NotEmpty", "email", "郵箱地址不能留空"),
array("isEmail", "email", "郵箱地址格式不正確"),
array("hasOne", "email", "郵箱地址已經被占用")
);
/**
* 覆蓋父類添加數據入庫的方法
* 先對用戶密碼進行md5加密,再調用父類的方法寫入數據庫中
*/
public function create($data) {
$data = array_map("addslashes", $data); //將數據中的標點符號(單、雙引號)進行安全轉義
$data["password"] = md5($data["password"]);
return parent::create($data);
}
}
?>
二、執行數據寫入操作 復制代碼 代碼如下:
//執行寫入數據的片段...
//執行數據入庫的操作
private function PostData() {
$fields = array("username", "password", "email");
$post = array_map("trims", $_POST); //清除所有數據兩邊多余的空格
$post = parseHTML($post, $fields); //將指定的字段內容進行清除HTML處理
$data = parseFields($post, $fields); //提取可以寫入數據庫的字段(防止別人繞過你的頁面進行提交一些別有用心的數據)
$DB = & M("member");
//進行數據驗證
if (!$DB->verify($data)) {
//驗證失敗,取出失敗的原因,並提交到模板頁面中
$this->assign("error", $DB->getVerifyError());
//把提交過來的數據也提交到模板中(用以實現用戶好像沒有離開過頁面的感覺)
$this->assign("default", $post);
//渲染注冊頁面模板
$this->display("/register.html");
}
else {
//寫入數據庫
$result = $DB->create($data);
//返回布爾型,說明數據寫入失敗,渲染注冊頁面模板
if (is_bool($result)) {
$this->assign("default", $post);
$this->display("/register.html");
}
else {
//注冊成功,渲染注冊成功頁面模板
$this->assign("username", $data["username"]);
$this->display("/reg_success.html");
}
}
}
可執行驗證的規則有
NotEmpty 不能為空
Number 只能是整數
isEmail 郵箱地址是否正確
hasOne 是否是唯一(是否重復,是否已經存在)
Regex 自定義正則表達式
驗證的格式為
array(驗證方法, 進行驗證的字段名稱, 驗證錯誤的提示信息)
對於正則表達示的驗證
array("Regex", "mobile", '/^13\d{9}$/', "用戶名不能留空")
MayFish 下載